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Editorial 


Im Geschichtsunterricht wird gelehrt, dass alles mit dem Tauschhandel angefangen 
hat. Die Älteren unter uns erinnern sich vielleicht noch, dass besonders nach dem 
Krieg der Tauschhandel wiederauflebte. Ist diese Zeit wirklich vorbei? Wenn beide Sei- 
ten vom jeweils anderen profitieren können, ist der Tauschhandel noch üblich. 


Die Geschichte lehrt uns aber auch, dass die Sache mit dem direkten Tauschhandel 
seine Grenzen hat. Münzen wurden eingeführt, die als Tauschmittel genutzt wurden. 
Das Bargeld entstand. Im Laufe der letzten Jahrzehnte wurden die Möglichkeiten 
elektronischer Bezahlung immer weiter ausgebaut. Aber Vorsicht, ist das Bezahlen 
mit Bargeld noch anonym möglich, so sieht das bei der elektronischen Bezahlung (E- 
Payment) schon anders aus. Was für die DVD der Anlass ist, E-Payment als Schwer- 
punktthema des vorliegenden Heftes zu wählen. 


Der Artikel „/om Wald der Bezahlsysteme und deren Folgen“ durchleuchtet gängige 
elektronische Bezahlsysteme, „Bitcoins - Anonyme Zahlungsmethode der Zukunft” 
befasst sich damit, wie die neuen BaFin-Regelungen Bitcoins betreffen, in der Studie 
zu M-PESA wird vorgestellt, wie in Kenia mit dem Smartphone bezahlt wird. Natür- 
lich darfbeim Thema E-Payment ein Artikel zu PSD2 nicht fehlen. Wer viel in London, 
Brüssel oder den Niederlanden unterwegs ist, kennt vielleicht bereits die hier unter 
die Datenschutzlupe genommene Oystercard, OV-Chipkaart oder MoBIB-Karte, elekt- 
ronische Bezahlsysteme für Fahrten mit öffentlichem Nahverkehr. Ein Bericht über die 
Datenschutzentwicklung in Kenia und wie sich das auf dortige elektronische Bezahl- 
möglichkeiten auswirkt, schließen das Thema E-Payment ab. 


Es folgen aus weiterhin aktuellem Anlass Artikel zum Thema Corona und zu gesell- 
schaftlichen Themen. Die Kontaktnachverfolgung in Coronazeiten sowie die Corona- 
Warn-App an sich und die App-Nutzung im Beschäftigungsverhältnis werden in Arti- 
keln genauer untersucht. Der Bericht „PimEyes & Gesichtserkennung in Europa” sowie 
ein Bericht zu Fingerabdrücken im Personalausweis runden das Heft ab. 


Nachrichten rund um Datenschutz, aktuelle Rechtsprechungen sowie Buchbespre- 
chungen befinden sich wie gewohnt am Ende des Heftes. Wir wünschen viel Freude 
beim Lesen. 
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Dr. Susanne Holzgraefe 


Vom Wald der Bezahl-Systeme und deren Folgen 


Münzen werden schon seit vielen 
Jahrhunderten als Tausch gegen Ware 
und Dienstleistungen eingesetzt. Spä- 
ter kamen dann die Scheine dazu. In der 
modernen Welt wird das Bargeld immer 
mehr verdrängt und durch elektroni- 
sche Bezahlmöglichkeiten ersetzt. Es 
ist ja auch irgendwie praktisch, einfach 
die Armbanduhr vor ein Gerät zu halten, 
um die eingekaufte Ware zu bezahlen. 
Kein lästiges Herumschleppen schwerer 
Münzsäcke, dicker Portemonnaies oder 
klobiger Handys mehr. 

Münzen und Scheine sind schon im- 
mer durch viele Hände geflossen und 
galten als Bakterienschleudern. Die 
Corona-Zeiten haben viele Menschen für 
die Unreinheit des Bargeld-Materials sen- 
sibilisiert. Geschäfte, die sonst nur zäh- 
neknirschend etwas anderes als Bargeld 
annahmen, bitten plötzlich, möglichst 
kontaktlos zu bezahlen. Es gibt sogar Ge- 
schäfte, die bar bezahlen wollende Kun- 
den an die Konkurrenz verweisen, weil sie 
selbst Angst vor Bakterien und Viren auf 
dem Bargeld haben. Es wird also höchste 
Zeit, sich mit den Folgen elektronischer 
Bezahlung auseinander zu setzen. 

Der Wald der Bezahlmöglichkeiten ist 
riesig. Genauer unter die Datenschutz-Lu- 
pe genommen werden in diesem Artikel, 
neben einleitenden Worten zum Bargeld 
und der quten alten Vorkasse, die Bezah- 
lung per Überweisung, Giro- und Kredit- 
karte, Bitcoin, Apple Pay, PayPal und Klar- 
na sowie Paysafe und MyCard2Go. 

Darüber hinaus wird am Ende noch 
kurz auf das Thema Löhne und Gehälter 
und die Weitergabe von Informationen 
an staatliche Stellen eingegangen. 

Anzumerken ist hier noch, dass bei 
der Recherche nur Apple Pay, nicht 
Google Pay unter die Lupe genommen 
wurde. Die Recherchen von Bank- und 
Kreditkarte beschränken sich auf die 
Commerzbank, Visa- und Mastercard. 


Bargeld und Barzahlung 


Der Vorteil von Bargeld ist die Ano- 
nymität. Solange mich die Händlerin 
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nicht persönlich kennt oder mir die Sa- 
chen liefert, ich die gekaufte Ware we- 
der jemandem zeige noch davon erzäh- 
le, weiß niemand, was ich mit meinem 
Bargeld gekauft habe oder wie teuer es 
war. Es geht ja auch niemanden etwas 
an. Die Händlerin kennt mich vielleicht 
und hat in ihrem Gedächtnis abgespei- 
chert, dass ich Kondome gekauft habe. 
Ohne weiter darüber nachzudenken, er- 
kundigt sie sich bei meinem Mann nach 
der Qualität der Kondome, doch dieser 
weiß gar nichts von den Kondomen. Tja, 
damit hätte ich rechnen und es verhin- 
dern können, indem ich die Kondome 
dort gekauft hätte, wo mich niemand 
persönlich kennt. Dennoch bleibe ich 
bei der Bezahlung mit Bargeld weitest- 
gehend unerkannt. 

Selbst bei Bestellungen im Internet 
ist Barzahlen möglich. Wie das funktio- 
niert? Die Ware wird online bestellt und 
bei den Bezahlmöglichkeiten Barzahlen 
ausgewählt. Bei Abschluss der Bestel- 
lung gibt es einen Barcode. Mit diesem 
Barcode lässt sich die Ware in einem der 
teilnehmenden Geschäfte vor Ort bar 
bezahlen. Sobald die Ware bezahlt ist, 
wird der Auslieferungsprozess gestartet. 
Weitere Informationen dazu gibt es auf 
barzahlen.de. Das einzige, was die Händ- 
lerin weiß, ist, dass sie eine Lieferung an 
eine Adresse geschickt hat. Ob das jetzt 
die Adresse der Person war, die die Ware 
bezahlt hat, oder eine andere Adresse, 
kann die Händlerin nicht verifizieren. 

In Corona-Zeiten ist es bei der Barzah- 
lung bei Onlinebestellungen zu empfeh- 
len, sich vorher zu erkundigen, ob das 
Geschäft in der Nähe, in dem die Ware 
später bar bezahlt werden soll, zu denen 
gehört, die die Annahme von Bargeld 
verweigern, um nicht am Ende doch mit 
einer Karte bezahlen zu müssen. 


Vorkasse 


Daneben gibt es auch noch das Be- 
zahlen per Vorkasse beim Paket- bzw. 
Lieferdienst. Egal, ob die Kleidung aus 
dem Katalog, die Türbeschläge aus dem 


Internet oder die Pizza - der Bote hän- 
digt die Ware erst aus, wenn sie an der 
Tür bezahlt wird. Solange die Bezahlung 
bar passiert, werden nur die Boten zu 
Mitwissenden. Allerdings kennen die 
mit der Lieferung Beauftragten ledig- 
lich die Summe und die äußeren Pa- 
ketabmessungen. Der Inhalt ist ihnen 
weitestgehend unbekannt. Selbst wenn 
sichtbar auf dem Pizzakarton „gluten- 
frei” steht, heißt das nicht, dass die Piz- 
za auch für die Person bestimmt ist, die 
die Pizza an der Tür entgegengenommen 
hat. Vor allem heißt das nicht, dass die 
Pizza zwingend für eine unter Zöliakie 
leidende Person ist. Genauso wenig, wie 
die Essensbox für Kinder, die bei einem 
Essenlieferanten bestellt wird, zwangs- 
weise wirklich für ein Kind ist. Es ist 
für Erwachsene nicht schädlich, ein für 
Kinder vorgesehenes Essen zu verspei- 
sen. 

Solange die Vorkasse bar abgewickelt 
wird, ist auch hier der Kreis der Mitwis- 
senden überschaubar. Rückschlüsse auf 
irgendwelche Vorlieben, gesundheit- 
liche Einschränkungen, Schuhgrößen 
oder ähnliches kann die Händlerin zwar 
zur Lieferadresse ziehen, aber die bei 
der Lieferadresse angegebene Person 
ist nicht zwangsweise die Person, für die 
die Ware bestimmt ist. Der Bote kann 
noch weniger Rückschlüsse ziehen, da 
er ja in der Regel den genauen Inhalt 
von Paketen nicht kennt. 

Dennoch gibt es hier neben der Händ- 
lerin noch die mit der Lieferung Beauf- 
tragten, die die Anonymität schwächen. 
Wird immer derselbe Bote geschickt 
bzw. dasselbe Unternehmen mit der 
Lieferung beauftragt, so wissen die 
Lieferanten durchaus, wohin derselbe 
Händler häufiger liefert. Je nach Ware 
wissen sie zum Beispiel, dass sie an Per- 
son X wöchentlich einen Blumenstrauß 
liefern oder Person Y alle zwei Tage eine 
Pizza erhält und Person Z zweimal pro 
Woche ein großes Paket vom selben Ver- 
sandhändler. 

Hier zeigt sich schon, wie wichtig der 
in der DSGVO geforderte Auftragsver- 
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arbeitungsvertrag zwischen Händlerin 
und extern beauftragten Lieferanten 
ist. Aber selbst wenn sich das juristisch 
lösen läßt, bleibt der entstandene Scha- 
den durch zu viel Tratsch und sowohl 
falsche Rückschlüsse als auch mögli- 
cherweise durchaus richtige Folgerun- 
gen, die sich nicht rückgängig machen 
lassen. Informationen, die einmal be- 
kannt wurden, lassen sich nur schwer 
entfernen und schon gar nicht aus den 
Köpfen der Menschen löschen. 

Wird die Vorkasse elektronisch ab- 
gewickelt, kann es, wie im weiteren 
Verlauf des Artikels erläutert wird, weit 
mehr Mitwissende geben, die die Ano- 
nymität weiter schwächen. 


Überweisung und Girokarte 


Bis in die 90er waren neben der Über- 
weisung auch noch Wechsel und Papier- 
Schecks gängige Zahlungsmittel. Schon 
damals wurden die Banken dadurch Mit- 
wissende, wer mit wem Geschäfte tätig- 
te. Das Bankgeheimnis sollte hier schüt- 
zen. Darüber hinaus erfuhren beide 
Parteien, bei welcher Bank der Andere 
ist. Das ist eine zusätzliche, persönliche 
Information, die den jeweils Anderen 
eigentlich nichts angeht und die nicht 
zwingend zum Geschäftsabschluss er- 
forderlich ist. 

Der Papier-Scheck wurde 2002 ganz 
durch die Debit-Karte ersetzt. Hierfür 
kamen dann auch Kartenlesegeräte 
auf den Markt. Die Geräte werden nicht 
von den Banken hergestellt, sondern 
es gibt sehr viele verschiedene Anbie- 
terinnen, die Kartenlesemöglichkeiten 
und ggf. entsprechende Geräte für ihre 
Lösungen anbieten. Zumindest bei ei- 
nigen Anbieterinnen bekommen die 
Händler monatliche Abrechnungen, 
aus denen hervorgeht, von welchen 
Konten und in welcher Höhe Gelder ge- 
flossen sind. 

Das bedeutet, dass jetzt nicht mehr 
nur die Banken die Informationen nach- 
vollziehen können, wer von wem Geld 
bekommen und wer an wen Geld über- 
wiesen hat, sondern auch die entspre- 
chenden Kartenlese-Anbieterinnen. 

Darüber hinaus werden die Daten auch 
noch irgendwie zwischen dem Lesegerät 
und der Bank übertragen; per Internet, 
per Fax, per Telegramm ... der Fantasie 
sind hier kaum Grenzen gesetzt. 
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Für Kartenlesegeräte und deren Über- 
tragung gibt es Standards. Aber, ein 
Standard ist kein Gesetz. Ein Standard 
ist freiwillig. Standard bedeutet, es ha- 
ben sich zum Beispiel eine Herstellerin, 
ein Wissenschaftlerin und eine Pro- 
duktanwenderin zusammengesetzt und 
überlegt, einen Standard zu entwickeln. 
Ob alle Anderen dem Standard jetzt fol- 
gen oder ihre eigenen Ideen umsetzen, 
bleibt den Herstellenden überlassen. 

Ist die Übertragung vom Kartenlese- 
gerät über ggf. die Anbieterin zur Bank 
komplett und immer verschlüsselt? Und 
wenn ja, was für Verschlüsselungsme- 
thoden wurden verwendet? Bei der Re- 
cherche für diesen Artikel konnten die 
Händlerinnen, bei denen vor Ort nach- 
gefragt wurde, zum Thema Verschlüs- 
selung bei der Übertragung von ihrem 
Kartenlesegerät gar nichts sagen. Die 
Herstellerinnen, bei denen telefonisch 
nachgefragt wurde, versicherten alle, 
dass selbstverständlich die Übertra- 
gung komplett verschlüsselt sei, aber 
auf die Frage nach der Methode verwie- 
sen sie auf das Geschäftsgeheimnis. 

Positiv denkend sind bei der Bezah- 
lung mit Girokarte lediglich zusätzlich 
die Banken und die Lesegerät-Anbie- 
tenden die Mitwissenden. Beide können 
nachvollziehen, wer mit wem Geschäfte 
in welcher Höhe macht. 

Überweisungen auf Papier werden 
heutzutage in der Bankfiliale elek- 
tronisch erfasst. Daneben lassen sich 
Beträge per Online-Banking und am 
Geldautomaten überweisen. So oder 
so sind die Banken hier Mitwissende. 
Stellen die Banken die verwendete Soft- 
ware selbst her? Kaufen sie sie zu? Gibt 
es da noch eine Zwischenspeicherung 
zu den Transaktionen bei Software- 
Herstellern? Und wie sieht das hier mit 
der Transport-Verschlüsselung aus? Hat 
hier eventuell eine Auftragsverarbeite- 
rin zusätzlich Einblick? 

Die Datenschutzerklärung vom Online- 
Banking-Portal der Commerzbank sagt: 
„Innerhalb der Bank erhalten diejenigen 
Stellen Zugriff auf Ihre Daten, die diese 
zur Erfüllung unserer vertraglichen und 
gesetzlichen Pflichten brauchen. Auch 
von uns eingesetzte Dienstleister und 
Erfüllungsgehilfen können zu diesen 
Zwecken Daten erhalten, wenn diese ins- 
besondere das Bankgeheimnis wahren. 
Dies sind Unternehmen in den Kategori- 


en kreditwirtschaftliche Leistungen, IT- 
Dienstleistungen, Logistik, Druckdienst- 
leistungen, Telekommunikation, Inkasso, 
Beratung sowie Vertrieb und Marketing.” 


Weiter unten steht zu den Empfän- 
gern der Daten unter anderem noch: 
„Dienstleister, die wir im Rahmen von 
Auftragsverarbeitungsverhältnissen her- 
anziehen.“ 


Das sind schon ganz schön viele po- 
tentielle Stellen, die ggf. Einblick be- 
kommen, wer mit wem Geschäfte macht. 
Stellen, die anhand des Verwendungs- 
zweckes spekulieren könnten, worum 
es bei den Geschäften geht. Bei dem 
Verwendungszweck ‚Gehalt’ könnte ver- 
mutet werden, dass die Geldgeberin die 
Arbeitgeberin ist. Bei einem Geldtrans- 
fer, dessen Verwendungszweck auf Be- 
zahlung von gekauften Produkten aus 
einem Sexspielzeugversand hinweist, 
ist die Wahrscheinlichkeit sehr groß, 
dass es sich bei dem Kauf, um eines 
oder mehrere im öffentlich einsehbaren 
Versandkatalog angebotene Produk- 
te handelt. Natürlich lassen sich auch 
Rückschlüsse unterschiedlichster Art 
bei dem Verwendungszweck ‚Unterhalt 
für Max’ ziehen. 

Aus einem häufigen Geldtransfer zu 
Fastfoodketten könnte auf ungesunde 
Ernährung geschlossen werden, zu einer 
Apotheke auf gesundheitliche Probleme 
und zu einer Fahrschule je nach Höhe 
der Beträge und Wiederholung der Zah- 
lungen darauf, dass die Sache mit dem 
Führerschein leichter oder schwerer fiel. 

Banken unterliegen strengen staat- 
lichen Kontrollen. Von einer durch- 
gehenden Verschlüsselung sowie der 
technischen Unterbindung unabsichtli- 
cher Übertragungen an große, US-ame- 
rikanische IT-Konzerne sollten Kunden 
ausgehen dürfen. Darüber hinaus weist 
zumindest die Commerzbank ja schon 
in dem oben zitierten Ausschnitt aus 
ihrer Datenschutzerklärung im Online- 
Banking-Portal darauf hin, dass sie alle 
Beteiligten zur Wahrung des Bankge- 
heimnisses verpflichtet hat. 


Bankeinzug / Lastschrift 
Der Betroffene erteilt dem Empfänger 


die Erlaubnis den ausstehenden Betrag 
per Bankeinzug einzuziehen. Hier wird 
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häufig der Einzug von mehreren Be- 
troffenen gebündelt und allein mit dem 
Kontoauszug lässt sich die Identität der 
Betroffenen nicht feststellen. Erst wenn 
der Einzug nicht klappt oder Betroffene 
dem Einzug widersprechen bzw. ihn zu- 
rückziehen, sind Angaben zum Betrof- 
fenen ersichtlich. Dennoch weiß natür- 
lich der Empfänger, wer alles an seinem 
Bankeinzug teilnimmt. 

Auch die Banken und ggf. ihr Gefolge 
wissen natürlich genau, von wem sie das 
Geld zu welchem Verwendungszweck 
einziehen. 

Setzt die Empfängerin noch externe 
Dienstleistende, wie Steuerberatungs- 
Kanzleien, ein, die sich um die Verwal- 
tung der Einzüge kümmern, so ist das 
eine weitere Mitwisser-Quelle. 


Kreditkarten 


Bei der Zahlung mit Kreditkarte er- 
weitert sich der vorgenannte Kreis der 
Mitwissenden noch um die jeweiligen 
Kreditkarten-Institute und deren ge- 
samte Auftragsverarbeitende. 

Auch wenn hier natürlich Alle strengs- 
ten Auflagen unterliegen und verschie- 
dene Gesetze und Vorschriften zum Still- 
schweigen verpflichten, wird der Per- 
sonenkreis, der Umgang mit den Infor- 
mationen hat, nicht nur immer größer, 
sondern auch immer unübersichtlicher. 

Wie viele einzelne Personen sind es, 
die einsehen können, dass ich einmal 
im Monat im Schuhgeschäften bestimm- 
te Summen an Geld ausgebe? Sind es 
zehn Personen, sind es hundert Per- 
sonen oder ist die Liste schon mehrere 
Seiten lang? 

Selbst wenn sie alle vertraglich und 
gesetzlich verpflichtet wurden, wächst 
mit jeder weiteren Person, die Kenntnis 
über die Informationen hat, die Wahr- 
scheinlichkeit eines Maulwurfs. 

Nichtsdestotrotz ist die Bezahlung 
mit Kreditkarte natürlich eine bequeme 
Sache. Mit vielen Kreditkarten lässt sich 
im Gegensatz zur Girokarte auch außer- 
halb Europas problemlos bezahlen und 
sie werden weltweit von vielen Bargeld- 
automaten akzeptiert. 

Egal, ob mal eben schnell den Flug 
buchen oder umbuchen, Tickets für das 
Musical am selben Abend in London re- 
servieren oder Bargeld in Nagasaki am 
Geldautomaten ziehen, um weiter durch 
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das Bargeldland Japan zu reisen, Kre- 
ditkarten sind einfach in vielen Situati- 
onen praktisch. 

Die Tatsache, dass die Kreditkarten in 
Deutschland üblicherweise nur einmal 
im Monat das Konto belasten, kann auch 
von Vorteil sein. So kann zum Beispiel 
die BahnCard schon bestellt und genutzt 
werden, bevor das Gehalt auf dem Konto 
ist und tatsächlich wird der Betrag erst 
nach Gehaltseingang abgebucht. 

Eine Kreditkarte ist praktisch. Sich 
dessen bewusst zu sein, dass neben 
den Geldempfängern auch Banken und 
Kreditinstitute samt Gefolge Zahlungen 
und Gewohnheiten nachvollziehen kön- 
nen, ist wichtig. 

Welche Folgen kann es haben, dass so 
viele wissen, dass ich jeden Monat eine 
gewisse Summe in Schuhgeschäften 
ausgebe? Angefangen damit mit Schuh- 
werbung auf allen Wegen zugebombt zu 
werden, könnte ein Fetisch für Schuhe 
unterstellt werden und dieser Ruf wei- 
tere Unannehmlichkeiten nach sich zie- 
hen. Ergeben weitere Recherchen, dass 
überwiegend hohe Absatzschuhe in der- 
selben Größe gekauft wurden, könnten 
die häufigeren Einnahmen von Taschen- 
geld durch erotisch-sexuelle Dienste 
unterstellt werden usw. 


Apple Pay 


Apple Pay beginnt damit, dass Kredit- 
karten im sogenannten Wallet hinter- 
legt werden. Wobei hier nicht wirklich 
die Kreditkarten hinterlegt werden, 
sondern, wie nachfolgend beschrieben, 
ein verschlüsselter Gerätecode. Wallet 
ist eine Verwaltungssoftware für Kre- 
ditkarten und alle möglichen Arten von 
Tickets. Zum Beispiel Boarding-Pässe 
für Flüge, Eintrittskarten für Schwimm- 
bäder, Tickets für Musicals und so wei- 
ter. Das englische Wort ‚wallet‘ bedeutet 
‚Brieftasche‘. 

Für Kreditkarten und neuerdings auch 
Girokarten wird mit Hilfe der Software 
‚wallet‘ ein von der Bank verschlüsselter 
Datensatz, der einen eindeutigen Geräte- 
code enthält, in der Nutzer-Cloud abge- 
legt. Also an einem Ort abgelegt, auf den 
die Wallet-Software von allen Geräten des 
Nutzers zugreifen kann. So ist es mög- 
lich, dass die Karten und Tickets sowohl 
mit dem Laptop, dem Tablet, dem Smart- 
phone als auch der Uhr abrufbar sind und 


genutzt werden können. 

Wie bei Apple üblich, gibt es auch zu 
Apple Pay eine sehr ausführliche und gut 
verständliche Beschreibung zum Thema 
Datenschutz und Sicherheit", die sich am 
einfachsten durch die Suchbegriffe ‚App- 
le Pay Datenschutz’ finden lässt. 

In der Erklärung wird noch einmal 
explizit darauf hingewiesen, dass Apple 
keine einzelne Informationen wie Kar- 
tennummer oder Inhaber speichert und 
auch die Geräte keine derartigen Infor- 
mationen übertragen. Wie das im ein- 
zelnen funktioniert, lässt sich an oben 
genannter Stelle nachlesen. Kurz gesagt 
ist alles verschlüsselt und nur die Bank, 
zu der das Konto hinter der Kreditkarte 
gehört, hat den Schlüssel. 

Damit nicht aus Versehen mit der Uhr 
oder dem Smartphone im Vorbeigehen 
bezahlt wird und um Missbrauch zu ver- 
meiden, kann die Karte nur nach Ge- 
sichtserkennung, Fingerabdruckscan 
oder Eingabe eines Codes aufgerufen 
werden. Darüber hinaus ist bei der Uhr 
und bei der Gesichtserkennung vor dem 
Bezahlen noch ein Seitenknopf zweimal 
zu drücken. 

Es ist natürlich sehr praktisch, den 
Supermarkt-Einkauf einfach per Uhr 
zu bezahlen. Weder müssen die Karten 
selbst noch das große Smartphone mit- 
genommen werden. Bei Online-Bestel- 
lungen auf Apple Pay zu klicken erspart 
die Eingabe der Kreditkarten-Daten. 

Auch bei Online-Käufen legt Apple 
höchsten Wert auf Sicherheit und Da- 
tenschutz. 

Apple kann nach Abschluss der Trans- 
aktion nicht nachvollziehen, wer bei 
wem was gekauft hat. Sie speichern zu 
statistischen Zwecken Auswertungen 
und zur Verbesserung von Apple Pay die 
Beträge und die Geldempfänger, aber 
keinerlei Informationen zu den Bezah- 
lenden. 

Jedoch erhalten das Kreditinstitut 
und die Banken dieselben Informati- 
onen, die sie auch per Bezahlung mit 
Kreditkarte bekommen würden. Darü- 
ber hinaus kann die Bank nachvollzie- 
hen, dass mit Apple Pay bezahlt wurde. 
Auf den Kontoauszügen der Kreditkarte 
gibt es zumindest bei der Commerzbank 
keinen Hinweis, wann via Apple Payund 
wann anders bezahlt wurde. 

Apple Pay ist einfach nur ein Durch- 
läufer, der dafür sorgt, dass die Origi- 
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nalkarten und ggf. auch das Handy zu 
Hause bleiben dürfen. 


PayPal und Klarna 


PayPal wird EU-weit als Bank geführt 
und die luxemburgische Bankaufsicht, 
Commission de Surveillance du Secteur 
Financier (CSSF), ist die zuständige 
Aufsichtsbehörde. 

Klarna ist das schwedische Gegen- 
stück zu PayPal mit Vollbanklizenz unter 
schwedischer Aufsicht. Für Festgeldan- 
lagen, die zusätzlich möglich sind, hat 
Klarna sich daneben gemäß EU-Recht 
bei der deutschen Bankenaufsicht re- 
gistrieren lassen. 

Um Paypal oder Klarna nutzen zu 
können, muss ein Konto oder eine Kre- 
ditkarte hinterlegt werden. Es können 
auch mehrere Konten bzw. Karten in ei- 
nem Benutzerkonto hinterlegt werden. 

Paypal bezahlt die Rechnung und 
zieht das Geld per Bankeinzug oder 
über die Kreditkarte ein. Darüber hin- 
aus kann Guthaben an PayPal bezahlt 
werden und kommende Rechnungen 
können dann mit dem Guthaben begli- 
chen werden. Stornierungen enden als 
PayPal-Guthaben. Das Guthaben kann 
aber auch einfach auf das hinterlegte 
Konto oder die Kreditkarte transferiert 
werden. 

Dem Kunden wird eine Übersicht 
bereit gestellt, an wen genau wie viel 
Geld gezahlt wurde: ein Paypal-Kon- 
toauszug. Wurde nicht per Paypal- 
Guthaben bezahlt, sondern hat Paypal 
sich das Geld direkt von der Kreditkar- 
te oder dem Konto genommen, so ist 
auf dem entsprechenden Kontoauszug 
des Bankkontos bzw. der Kreditkarte 
zu erkennen, an wen das Geld ging. 
Paypal reicht die Empfängerdaten an 
die Bank durch. 

Somit sind Paypal bzw. Klarna weitere 
Mitwisser im Bezahlprozess. Die Bank 
und ggf. das Kreditkarteninstitut wird 
nur dann nicht mehr zum Mitwisser, 
wenn Paypal per Guthaben bezahlt. Da- 
durch bekommen Bank und Kreditkar- 
teninstitut nur mit, dass Geld an Paypal 
gezahlt wurde, nicht aber, an wen via 
Paypal Geld geschickt wurde. 

Der große Vorteil von Paypal und Klarna 
liegt darin, dass keine Informationen zum 
Bankkonto oder der Kreditkarte an Zah- 
lungsempfänger weitergegeben werden. 
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Paysafecard 


Paysafecard ist ein irisches Unterneh- 
men mit Banklizenz. In Filialen von ver- 
schiedenen großen Supermarktketten 
undTankstellenlässtsich diePaysafecard 
mit einem Guthaben zwischen zehn und 
hundert Euro erwerben. Auf paysafecard. 
com lassen sich durch Eingabe von Post- 
leitzahl und Ort die Verkaufsstellen in 
der Umgebung finden. Der Zettel sieht 
auf den ersten Blick aus wie ein Kassen- 
bon. Mit dem dort abgedruckten Code 
lässt sich nun im Internet bezahlen, bis 
das Guthaben aufgebraucht ist. 

Dasklingt erstmalnach einer bargeldlo- 
sen, anonymen Lösung. Doch so anonym 
ist Paysafecard dann doch nicht. Paysa- 
fecard versucht an die IP-Adresse seiner 
Kunden zu kommen. Der Grund dafür ist 
einfach: Das Unternehmen besitzt eine 
Banklizenz. Das Schwesterunternehmen, 
die britische Prepaid Services Company 
Limited, wird von der Behörde Financial 
Conduct Authority (FCA) reguliert. Das 
bedeutet, sie sind dazu verpflichtet, ge- 
gen Geldwäsche und andere juristische 
Verstöße aktiv vorzugehen. 

Der Journalist Lars „Ghandy“ Sobiraj 
hat 2017 in seinem Blog, tarnkappe. 
info?, über seine Versuche berichtet, die 
Paysafecard erfolglos mit Tor-Browser 
und auch diversen, die IP verschleiern- 
den, VPN-Anbietern zu nutzen. 

Fazit: Paysafecard versucht an die IP 
seiner Kunden zu kommen. Gelingt das 
nicht, sperrt Paysafecard die Karte. Die 
Freischaltung ist dann nur durch ein 
Identifizierungsverfahren möglich. Auf 
diese Weise wird bei einer Geschäftsab- 
wicklung das Unternehmen Paysafecard 
samt Gefolge zum Mitwisser. 


mycard2go 


Der anonyme mycard2go-Serivce wur- 
deam 31. Mai 2020 komplett eingestellt. 
Hierbei handelte es sich um eine auflad- 
bare Prepaid Kreditkarte. Auch hier war 
das Limit pro Aufladung 100 Euro. Das 
ist eine gesetzlich vorgeschriebene Ma- 
ximalhöhe aus dem Geldwäschegesetz. 
Aufgeladen werden konnte die Karte 
unter anderem in bar an verschiedenen 
Tankstellen, in Kiosken und Geschäften. 

Ab 2017 bedurfte es dann auf Grund 
gesetzlicher Vorschriften einer Identifi- 
zierung für die Karte. 


Bei der Recherche für diesen Artikel 
im Januar 2020 teilte eine Mitarbeite- 
rin telefonisch mit, dass die anonymen 
Karten nicht mehr erworben, sondern 
nur noch vorhandene Karten aufgela- 
den werden könnten. Die Gesetzgebung 
lasse hier keinen Spielraum. 


Anonyme Kreditkarte 


Es gibt durchaus aufladbare Kredit- 
karten, für die es keiner Identifizierung 
bedarf. Allerdings nicht in Deutschland. 
Aufladbare Kreditkarten gibt es u.a. von 
Visa. Allerdings wird der Kunde hier in 
Deutschland zu einer Identifizierung 
gezwungen. Wodurch sowohl die Bank 
als auch das Kreditkarteninstitut samt 
dem jeweiligen Gefolge zu Mitwissern 
werden und der Unterschied zur nicht- 
anonymen-Kreditkarte lediglich darin 
besteht, dass die Kreditkarte Prepaid ist 
und Händlerinnen anhand der Karten- 
daten den Kartenbesitzer nicht identifi- 
zieren können. 


Geldchip-Karten 


In einigen chinesischen Regionen 
ist es üblich, dass Löhne und Gehälter 
nicht in Scheinen und Münzen ausge- 
zahlt werden, sondern der Betrag auf 
eine Chipkarte gespielt wird, die dann 
wiederum in Geschäften usw. zum Be- 
zahlen genutzt werden kann. 

In Deutschland wurden seit Ende der 
90er Jahre Geldchips auf EC-Karten bzw. 
Geldchip-Karten in Umlauf gebracht. 
Das System hat sich allerdings nicht 
durchgesetzt. War es seiner Zeit viel- 
leicht einfach nur voraus? 

Wäre das eventuell die Möglichkeit, 
eine bargeldlose Bezahlmöglichkeit zu 
haben, die bezüglich der Anonymität 
dem Bargeld gleich kommt? Oder ist bei 
bargeldloser Bezahlung immer zwangs- 
weise eine Identifizierung von Sendern 
und Empfänger durch Regulierungsbe- 
hörden notwendig? 


Mobile Geldverwaltung-Apps 


Wie der Artikel zu M-PESA in Kenia 
zeigt, sind darüber hinaus auch noch 
mobile Geldverwaltung-Apps im Um- 
lauf. Selbst in Kenia ist die Nutzung 
ohne Registrierung nur bedingt mög- 
lich. Die App hat es auch nach Rumäni- 


143 


en und Albanien geschafft’. Doch in der 
übrigen EU verhindern strenge Regulie- 
rungen die Einführung. Anonym bezah- 
len per Handy oder zukünftig per Uhrist 
in der EU derzeit nicht vorgesehen. 

Bei dem M-PESA-Modell aus Kenia 
sind bei Registrierung neben den Ban- 
ken auch noch Mobilfunkanbieter Mit- 
wissende (siehe zu M-PESA auch den 
Artikel ab Seite 147). 


Bitcoin 


Zum Abschluss gibt es noch die Mög- 
lichkeit der Bezahlung mit Kryptowäh- 
rung. Doch wie sieht das hier mit der 
Anonymität aus? Während der Recher- 
chen kamen neue Vorschriften von der 
Bundesanstalt für Finanzdienstleis- 
tungsaufsicht (BaFin) heraus, die Kryp- 
towährungen wie Bitcoin treffen. 

Leopold Beer hat dem Thema einen ei- 
genen Artikel (ab Seite 145) gewidmet. 


Staatliche Stellen 


Neben Banken und Kreditinstituten ver- 
schafft sich der Staat immer mehr Einblick 
in die Finanzen der Menschen. Also noch 
mehr Mitwissende, dass ich monatlich 
eine bestimmte Summe in Schuhgeschäf- 
ten lasse, mehrfach wöchentlich Lebens- 
mittel geliefert bekomme, regelmäßig 
ins Schwimmbad gehe, viele Bahntickets 
kaufe und so weiter, und so weiter. 

Wie lange kann sich der Widerstand 
gegen eine Abschaffung des Bargeldes 
noch halten? Einige europäische Länder 
haben bereits Centstücke abgeschafft. 
Nicht mehr mit Bargeld bezahlen zu 
können ist in einigen Nachbarländern 
durchaus nichts Neues. 

Natürlich ist die Bezahlung mit Uhr 
cooler und auch bequemer. Aber zu wel- 
chem Preis? 


Jetzt DVD-Mitglied werden: 


Wie sieht die gleichwertig liberal-an- 
onyme Alternative zum Bargeld aus, die 
das Bargeld ersetzen könnte? 

Gibt es durch die strengen Auflagen 
und Überwachungen bei jeglicher bar- 
geldloser Form der Bezahlung eventuell 
in Zukunft einen Rückschritt zum Bar- 
geld? 


Löhne und Gehälter 


In vielen deutschen Arbeitsverträgen 
steht, dass die Zahlung des Gehaltes bar- 
geldlos erfolgt. In die Praxis umgesetzt 
geschieht das üblicher Weise per Über- 
weisung. Neben den Banken und ihrem 
Gefolge, die hierbei zu Mitwissenden 
werden, ist es nicht selten, dass die Ver- 
waltung und Überweisung von Gehältern 
durch externe Stellen wie Steuerbera- 
tungs-Kanzleien durchgeführt wird. 

Das bedeutet, dass nicht nur Banken 
und deren Gefolge Mitwissende von per- 
sonenbezogenen Gehaltsinformationen 
sind, sondern auch externe Dienstleis- 
ter der Arbeitgeberin; und zwar nicht 
nur, wie bei den Banken, was die Höhe 
der Auszahlung betrifft, sondern dar- 
über hinaus noch wer wo krankenver- 
sichert ist, bei wem wieviele Steuern 
und Sozialversicherungen abgezogen 
werden, wieviel Bonus es gab, wie hoch 
die gezahlte Kirchensteuer ist und vie- 
les mehr. 

Wird das Gehalt bar ausgezahlt oder 
auf einen anonymen Geldchip übertra- 
gen, ist zumindest erstmal die Bank mit 
gesamtem Gefolge als Mitwissende aus- 
geschaltet. Für staatliche Stellen ist es 
natürlich einfacher Geldeingänge auf 
einem Konto zu beobachten als Abrech- 
nungen einzufordern. 

Dennoch, die Barzahlung von Gehäl- 
tern ist auch in Deutschland noch er- 
laubt. Ob sich zukünftig in Deutschland 
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die Auszahlung von Löhnen und Gehäl- 
tern aufanonyme Geldchips durchsetzt, 
bleibt abzuwarten. Gesetze, die für Ge- 
haltszahlungen auf anonyme Geldchips 
keine bzw. reelle Limitierung der aufge- 
ladenen Summe vorsehen, könnten hier 
helfen. 

Spannend ist übrigens auch die Frage, 
ob ein Unternehmen Bewerber ablehnen 
darf, nur weil sie den Passus mit der bar- 
geldlosen Bezahlung im Arbeitsvertrag 
gestrichen haben und ihr Gehalt in bar 
bekommen möchten. 


Fazit 


Der Wald der Bezahlsysteme ist um- 
fangreich. Allerdings sorgen Gesetze 
und Vorschriften dafür, dass kein einzi- 
ges Bezahlsystem ähnlich anonym nutz- 
bar ist wie das Bargeld. Nicht nur für 
Banken und Kreditinstitute werden die 
Kunden immer gläserner, sondern auch 
der Staat erhält immer mehr Einblick in 
unseren Umgang mit finanziellen Mit- 
teln. 

Ob das Bargeld in Zukunft abgeschafft 
oder es auf Grund der zu großen Mit- 
wisserschaft und Überwachung einen 
Rückschritt zum Bargeld gibt, weil Ge- 
setze und Vorschriften nicht für eine 
akzeptable gleichwertig-anonyme elek- 
tronische Bezahlmöglichkeit sorgen, 
wird die Zukunft zeigen. 


1 https://support.apple.com/de-de/ 
HT203027 


2 https://tarnkappe.info/paysafecard- 
anonymitaet-war-gestern/ 


3 https://www.welt.de/wirtschaft/bilanz/ 
article162694583/ Afrika-zeigt-der-Welt- 
wie-mobiles-Bezahlen-geht.html 
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Leopold Beer 


Bitcoins - Anonyme Zahlungsmethode der Zukunft? 


Eine Analyse der Anonymität bei Kryptowährungen sowie der regulatorischen 
Anforderungen durch BaFin und KWG 


Kryptoassets und vor allem Bitcoins 
sind derzeit in aller Munde. Von den ei- 
nen als Zahlungsmethode der Zukunft in 
den Himmel gepriesen, von den anderen 
als Instrument zur anonymen Begehung 
von Straftaten abgestempelt, bieten 
Kryptowährungen eine große Bandbrei- 
te an Diskussionsstoff. Eine Frage, die 
jedoch immer wieder auftaucht und von 
herausragender Bedeutung sein dürfte, 
ist, wie sicher das Traden mit Bitcoins 
ist und wie es um die weitgerühmte An- 
onymität bei Transaktionen von Bitcoins 
steht. Zudem sind im Zusammenhang 
mit Kryptowährungen inzwischen zahl- 
reiche regulatorische Anforderungen 
zu berücksichtigen, die zuletzt in einer 
Neufassung des Kreditwesengesetzes 
(„KWG”) Gestalt angenommen haben und 
durch die Bundesanstalt für Finanzauf- 
sicht („BaFin“) überwacht werden. 


Wie ist Privatsphäre im Bereich von 
Krypto-Währungen zu definieren? 


Bevor auf die Erhaltung der Privat- 
sphäre beim Traden mit Bitcoins einge- 
gangen werden kann, muss zunächst die 
verwendete Definition geklärt werden: 
Im Folgenden wird unter Privatsphäre die 
Fähigkeit einer Person oder Gruppe ver- 
standen sich selbst oder Informationen 
über sich selbst zu verstecken und sich 
dadurch auszudrücken, wie sie das will. 

Konkret auf Geld bezogen ergeben sich 
daher zwei zentrale Komponenten der Pri- 
vatsphäre: Anonymität und Transparenz. 
Das Zusammenspiel von Privatsphäre, An- 
onymität und Transparenz lässt sich durch 
die mathematische FormelP=A/T aus- 
drücken. Folglich ist die Privatsphäre am 
höchsten, wenn die Anonymität am höchs- 
ten und die Transparenz am niedrigsten ist. 


Ist die Anonymität bei Online-Trans- 
aktionen mit Bitcoins gewährleistet? 


Doch wann ist die Anonymität hoch 
und die Transparenz niedrig? Das ety- 
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mologisch auf die alten Griechen zu- 
rückzuführende Wort „Anonymität“ 
bezeichnet den Zustand ohne eigenen 
Namen oder die Namenlosigkeit. Auf 
Geld bezogen ist von vollständiger An- 
onymität zu sprechen, wenn niemand 
erkennen kann, wer sich hinter einer 
Kryptowährungs-Adresse verbirgt. Eine 
Blockchain nimmt keinerlei Unterschei- 
dung zwischen Alter, Rasse, Herkunft, 
Geschlecht oder Bildung vor, weswegen 
Kryptowährungen zunächst hundert- 
prozentige Anonymität hinsichtlich der 
Generierung eines zufälligen Privat Key 
zu gewähren scheinen. 

Allerdings gibt es inzwischen zahl- 
reiche durch Regierungen eingeführte 
Normenkomplexe, die illegale Aktivitä- 
ten durch Kryptowährungen verhindern 
sollen. So fordern Behörden inzwischen 
im Falle von Kryptowährungs-Exchan- 
ges eine Kontrolle im Rahmen von 
Anti-Geldwäsche-Systemen (Anti-Mo- 
ney-Laundering, AML) sowie der Ter- 
rorismusbekämpfung (Countering the 
Financing of Terrorism, CFL) und die 
Erhebung von Kundendaten (Know Your 
Customer, KYC und Know Your Business, 
KYB). Aus diesem Grund fordern die 
meisten Services einen Identitäts- und 
Altersnachweis als Voraussetzung des 
Tradens. Neben der Tatsache, dass die 
Anonymität durch Exchanges eine er- 
hebliche Minderung erleidet, fällt auch 
noch eine andere Komponente ins Ge- 
wicht: Die Transparenz. 


Wie transparent sind Kryptowährungen? 


Transparenz im sozioökonomischen 
Zusammenhang impliziert Offenheit, 
Kommunikation und Verantwortlich- 
keit. Kurz: Transparenz ist stets dann 
gegeben, wenn für Außenstehende 
erkennbar ist, welche Aktionen aus- 
geführt werden. Im finanziellen Kon- 
text bedeutet das, dass die Wege der 
Geldflüsse bekannt sind. Im Bereich 
der Kryptowährungen stellt es sich so 


dar, dass der Großteil aller Blockchains 
über die gesamte Geschichte hinweg zu 
100% transparent ist. Es gibt zwar neu- 
ere Technologien, die die Transparenz 
verringern sollen, doch im Grundsatz 
ist von vollständiger Transparenz bei 
Bitcoins auszugehen. Bezogen auf die 
oben aufgestellte Formel bedeutet das, 
dass sowohl Anonymität als auch Trans- 
parenz bei Kryptowährungen nahezu 
unendlich hoch sind. Dies führt zu einer 
Pseudo-Anonymität beim Handeln mit 
Kryptowährungen. 


Was ist unter Pseudo-Anonymität bei 
Krypto-Währungen zu verstehen? 


Unter Pseudo-Anonymität im Bereich 
von Bitcoins ist zu verstehen, dass ein 
Computer trotz der hohen Transpa- 
renz dessen, was passiert, und trotz 
zunächst scheinbar hoher Anonymität 
Transaktionen unter Verwendung be- 
stimmter Informationen zurückrechnen 
kann, die fehlende Informationen zu 
einer Identität zusammensetzen und 
somit die Anonymität reduzieren könn- 
te. Selbst wenn die eigene Identität der 
Person im Rahmen der Transaktionen 
nie zum Vorschein kommt, ist auf diese 
Weise nachvollziehbar, welche Person 
hinter welchem Nutzer steht und wer 
beispielsweise ein bestimmtes Finanz- 
verbrechen begangen hat. Dies hat in 
der Vergangenheit nicht nur theoretisch 
funktioniert, sondern wurde von Regie- 
rungen bereits mehrfach im Rahmen der 
Kriminalitätsbekämpfung angewandt. 

So wurde der US-Amerikaner Ross Ul- 
bricht im Jahr 2015 wegen Geldwäsche 
und Drogenhandel mit Kryptowährun- 
gen zu lebenslanger Haft verurteilt. 
Durch die Verwendung von Bitcoins als 
Zahlungsquelle hatten die Behörden 
Zugriff auf seine gesamte Transaktions- 
Historie. Als das Niveau an Anonymität 
bei einigen Transaktionen litt, konnten 
die Behörden ohne große Probleme sei- 
ne Identität herausfinden und zugleich 
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aufgrund der Transparenz des Systems 
illegale Aktivitäten nachweisen. Es 
zeigt sich deutlich, dass das Level an 
Anonymität bei Kryptowährungen deut- 
lich geringerist, als bei der Verwendung 
von Bargeld oder anderen Fiat-Geldern. 


Wie kann die echte Anonymität bei 
Bitcoins erhöht werden? 


Es gibt einige Technologien, welche 
die Anonymität beim Traden mit Bitcoins 
maximieren können. An dieser Stelle 
sind insbesondere Zero-Knowledge- 
Proofs und Ringsignaturen zu nennen. 

Bei Zero-Knowledge-Proofs wird eine 
bestimmte Summe Bitcoins nur dann 
an einen Public Key übertragen, wenn 
der Inhaber dieses Public Key über eine 
bestimmte Information verfügt, die 
nur der berechtigte Empfänger kennt. 
So muss er seine Identität nicht offen- 
legen, sondern nur durch die entspre- 
chende Information die Zahlung auto- 
risieren. Bei Ringsignaturen handelt 
es sich um eine besondere, anonyme 
Form von Gruppensignaturen in kryp- 
tographischen Hash-Funktionen. Unter 
Zuhilfenahme einer Ring-Signatur kann 
der Nachweis erbracht werden, dass ein 
Gruppenmitglied ein bestimmtes Datum 
erzeugt hat, ohne dass das Gruppenmit- 
glied seine Identität offenbaren muss. 


Wie hoch ist die Gefahr von Daten- 
diebstahl und -missbrauch bei Bit- 


coins? 


Eine Blockchain zu hacken ist im Mo- 
ment absolut unmöglich. Dies würde 
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nämlich bedeuten, die Kryptographie zu 
hacken. Diese kryptographischen Algo- 
rithmen wie SHA256 sind jedoch nicht 
kennzeichnend für die Blockchain, 
sondern werden überall im Internet ver- 
wendet. Ein solcher Hack würde die Welt 
also in ungeahnter Art und Weise treffen 
und massive Schäden anrichten. Es ist 
aber einfach nicht möglich, ausgehend 
von den Public Adresses die Private Keys 
zu ermitteln - genau das ist jedoch die 
Basis einer jeden Blockchain. 

Vielmehr sind Pishing-Angriffe mög- 
lich. Diese sind vergleichbar mit dem 
Hack anderer Services, wenn Angrei- 
fer beispielsweise das Passwort für 
das Online-Banking ausfindig machen 
möchten. Fraglich ist also, ob es beim 
Traden mit Kryptowährungen leichter 
ist, Zugriff auf das „Konto“ des Nutzers 
zu bekommen als bei klassischen Über- 
weisungen. Bei einer normalen Über- 
weisung benötigt der Hacker neben den 
Konto- und Zugangsdaten (PIN) inzwi- 
schen auch eine Transaktionsnummer 
(TAN), die meist auf ein mobiles Endge- 
rät verschickt wird. 

Bei der „Überweisung“ von Bitcoins 
findet sich das Merkmal einer Konto- 
nummer in Form des Public Key, die PIN 
in Gestalt des Private Key. Das Merkmal 
der TAN entfällt jedoch, da zwischen 
Empfänger und Begünstigtem keine 
Bank steht. Dies führt dazu, dass bereits 
die Kenntnis von Public und Private Key 
zu freier Verfügungsgewalt über das 
„Konto“ des Betroffenen führt. Zudem 
folgt aus dem Fehlen einer Bank, dass 
der Public Key als Pendant zum Konto 
rechtlich keiner Person zugeordnet ist 


und das Konto folglich gläsern und für 
alle einsehbar im virtuellen Raum liegt. 


Welche Ansprüche hat der Geschädig- 
te bei Datenmissbrauch? 


Es wird angenommen, dass ein Ha- 
cker (Schädiger) den Private Key eines 
Nutzers (Geschädigter) erlangt hat und 
damit eine Überweisung auf ein von ihm 
genutztes Krypto-Konto tätigt. In dieser 
Konstellation sind die Rechte des Ge- 
schädigten nicht einfach zu beurteilen. 

Denn ein Schutz des Geschädigten 
über 8823 BGB ist nur schwer anzuneh- 
men, da der „Diebstahl“ eines Private 
Keys und die Übertragung der Bitcoins 
durch den Schädiger nur Teile der Rech- 
nungseinheiten sind, während das Kon- 
to und der Schlüssel selbst jedoch nicht 
verloren gehen, sondern lediglich an 
Wert einbüßen. Das BGB kennt die Zu- 
ordnung von Rechtspositionen als Be- 
sitz oder Eigentum an einer Sache oder 
in Form der Inhaberschaft an Forderun- 
gen oder Rechten. Dieses System ist je- 
doch auf die oben aufgeführte Konstel- 
lation nicht ohne weiteres übertragbar. 
Denn Bitcoins und Kryptowährungen 
sind keine Sachen, da sie lediglich vir- 
tuell existieren. Entscheidend ist daher 
allein die Verfügungsgewalt über den 
Inhalt des „Kontos“ in Form des Private 
Key. Im Gegensatz zum klassischen Kon- 
to ist der Public Key jedoch nicht mit 
einer konkreten Person verknüpft und 
insbesondere nicht mit dem Willen die- 
ser Person verbunden. Es gibt nämlich 
keinen Kontoinhaber, nur faktisch auf 
das Konto Zugreifende. 

Ein Anspruch des Geschädigten dürf- 
te sich jedenfalls aufg 812 Abs. 1Satz 1 
2. Alt. BGB gründen lassen. Auf Basis 
einer Eingriffskondiktion kann der 
Geschädigte die übertragene Summe 
zurückfordern, wenn der Schädiger 
auf Kosten des Geschädigten ohne 
rechtlichen Grund etwas erlangt. Der 
Schädiger erlangt einen faktisch ver- 
mögenswerten Vorteil in Gestalt von 
Rechnungseinheiten, also ein adäqua- 
tes Etwas. Dies geschieht auf Kosten 
des ursprünglichen alleinigen Konto- 
inhabers, des Geschädigten und ohne 
Rechtsgrund, da es sich ja um einen 
Hack handelt und eben nicht um eine 
normale Transaktion mit Leistung und 
Gegenleistung. 
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Wo sind Bitcoins gesetzlich reguliert? 


Mit Geltung zum 01.01.2020 hat der 
deutsche Gesetzgeber einige Änderungen 
hinsichtlich Kryptowährungen vorge- 
nommen. So hat er in Übererfüllung der 
5. EU-Geldwäscherichtlinie das Krypto- 
verwahrungsgeschäft in 8 1 Abs. 1a Nr. 6 
Kreditwesengesetz (KWG) als Finanz- 
dienstleistung aufgenommen und in 8 1 
Abs. 11 Nr. 10 Kryptowerte als Finanzin- 
strumente definiert. Unter Kryptowerten 
versteht der Gesetzgeber digitale Darstel- 
lungen eines Wertes, der von keiner Zent- 
ralbank oder öffentlichen Stelle emittiert 
wurde oder garantiert wird und nicht den 
gesetzlichen Status einer Währung oder 
von Geld besitzt, aber von natürlichen 
oderjuristischen Personen aufgrund einer 
Vereinbarung oder tatsächlichen Übung 
als Tausch- oder Zahlungsmittel akzep- 
tiert wird oder Anlagezwecken dient und 
der auf elektronischem Wege übertragen, 
gespeichert und gehandelt werden kann. 
Hierunter wird beispielsweise der Bitcoin 
verstanden. 


Was sind die Anforderungen an Bit- 
coin-bezogene Finanzinstrumente? 


Für Finanzdienstleistungen mit Bezug 
zu Kryptowährungen gelten zunächst 
die gleichen Anforderungen, die auch 
bei traditionellen Finanzinstrumenten 
berücksichtigt werden müssen. Wenn 
bspw. eine Anlageberatung stattfindet, 
bedarf es hierfür einer rechtlichen Er- 
laubnis zur Anlageberatung. Zusätzlich 
wird gefordert, dass den spezifischen, 
organisatorischen Anforderungen des 
entsprechenden Finanzdienstleistungs- 
instituts, welches die Dienstleistung im 
Zusammenhang mit Kryptowährungen 
anbietet, ausreichend Rechnung getra- 
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gen wird. Insoweit müssen die Risiken 
aus den Geschäften mit den digitalen Fi- 
nanzinstrumenten adäquat berücksich- 
tigt werden. Das anbietende Finanzinsti- 
tut muss also insbesondere auch über die 
technisch-organisatorische Ausstattung 
für diese Art von Geschäften verfügen. 


Welche Anforderungen werden an 
das Kryptoverwahrungsgeschäft ge- 
stellt? 


Hohe praktische Relevanz hat die 
Neufassung des KWG aufgrund der 
Einführung des Kryptoverwahrungs- 
geschäfts. Da dieses als Finanzdienst- 
leistungsinstitut eine Erlaubnispflicht 
auslöst, muss für die Verwahrung, Ver- 
waltung und oder Sicherung von Kryp- 
towerten - einschließlich dem Verwah- 
ren der kryptographischen Schlüssel 
- für andere eine Erlaubnis durch die 
BaFin eingeholt werden. 

Diese Neuregelung hat insbesondere 
Einfluss auf die Kryptohandelsplattfor- 
men, soweit diese auch Verwahrung und 
Verwaltung der Token (also der Keys) 
anbieten. Hierbei spielt es insbesondere 
keine Rolle, welche Art von Verwahrung 
der jeweilige Betreiber anbietet. Denn 
neben den Wallets, die die Keys online 
zur Verfügung stellen, sind hiervon auch 
offline Wallets umfasst, die die Keys ana- 
log abspeichern. Anbieter, die allein die 
nötige Software und/oder Hardware zur 
Verfügung stellen, die eine Speicherung 
der Keys ermöglichen, sind jedoch keine 
Kryptoverwahrer, wenn sie keinen Zu- 
griff auf die Keys erhalten. 

Anbieter, deren Geschäftsmodell neu- 
erdings unter eine Finanzdienstleistung 
fällt, müssen nunmehr die übliche Do- 
kumentation implementieren und ge- 
genüber der BaFin einreichen, die für 


die Erlaubnis einer jeden Finanzdienst- 
leistung erforderlich ist (Organisati- 
onshandbuch, tragfähiger Geschäfts- 
plan, Nachweis über Anfangskapital, 
Geschäftsleiterbeurteilungen, Angaben 
zu den Inhabern bedeutender Beteili- 
gungen etc.). CRR-Kreditinstitute (sog. 
Vollbanken oder Universalbanken) hin- 
gegen benötigen keine separate Erlaub- 
nis, da sie ohnehin sämtliche Finanz- 
dienstleistungen erbringen dürfen. 
Eine wichtige Änderung ist jedoch, 
dass Kryptoverwahrer nun geldwäsche- 
rechtlich Verpflichtete geworden sind 
und aus diesem Grund bei Geschäftsbe- 
gründung ihre Kunden identifizieren 
und die Angaben verifizieren müssen. 
Zudem bedarf es einer ständigen Über- 
wachung der einzelnen Übertragungen 
(einschließlich der Übertragung von 
Kryptowährungen wie bspw. Bitcoins). 
Hierdurch werden die Trader einerseits 
aus ihrer Anonymität geholt und ande- 
rerseits auffällige Transaktionen heraus- 
gefiltert. So sollen missbräuchliche Ge- 
schäfte (insbesondere Geldwäsche und 
Terrorismusfinanzierung) besser aufge- 
spürt und verhindert werden können. 


Fazit 


Es wird deutlich, dass Kryptowährun- 
gen längst nicht das im Volksmund ver- 
sprochene Maß an Anonymität bieten. 
Umfassende regulatorische Anforde- 
rungen, die durch die BaFin überwacht 
werden, sollen durch eine Absenkung 
des Anonymitätniveaus einem Miss- 
brauch von Kryptowährungen Einhalt 
gebieten und spiegeln klar die Digital- 
strategie der Bundesregierung wieder: 
Deutschland soll europäischer Vorreiter 
und Impulsgeber bei der Verbreitung 
von Kryptoassets werden. 


A case study on M-PESA as a form of e-payment 


What is M-PESA 
M-PESA (“M” for mobile and “PESA” 


for money in Swahili) is an electronic 
payment and electronic wallet sys- 
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tem that is accessible through mobile 
phones. M-PESA, developed by mobile 
phone operator Vodafone and launched 
commercially by its Kenyan affiliate Sa- 
faricom in March 2007, is Africa’s most 


successful mobile money service. It pro- 
vides access to financial services to the 
millions of people who have a mobile 
phone, but do not have or have only li- 
mited access to a bank account. M-PESA 
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provides people with a safe, secure and 
affordable way to send and receive mo- 
ney, top-up airtime, make bill payments, 
receive salaries, get a short-term loan 
and much more. It has seen exceptional 
growth since its introduction by mobile 
phone operator Safaricom in Kenya. 


Introduction 


Payment is a pulse of any business, 
cash flow is considered as one of the 
critical success factors for any business 
as well as information and product flow. 
In this paper we will focus on one form 
of electronic payment used in Kenya 
known as M-PESA. 

Electronic payment or e-payment is 
the payment of money for either goods 
or services without the physical ex- 
change ofhard cash. 


M-PESA in a Nutshell 


To access the service, customers must 
first register at an authorized M-PESA 
retail outlet. Their e-wallet account that 
is linked to their phone number’s SIM 
card is activated. Customers can deposit 
to and withdraw cash from their e-wal- 
lets by exchanging cash for electronic 
value at anetwork ofretail stores (often 
referred to as M-PESA agents). These M- 
PESA agents are paid a fee by Safaricom 
each time they exchange these two 
forms ofliquidity on behalf of safaricom 
and its customers. Once customers have 
money in their M-PESA accounts, they 


M-PESA 


Send pesa by phone 


MPESA a tbe new, exıy und oflardabie way Io send money bame. 


can use their phones to transfer funds 
to other M-PESA users and even to non- 
registered users, pay bills, till numbers 
and purchase mobile airtime. All trans- 
actions are authorized and recorded in 
realtime using secure SMS, and are cap- 
ped at KES 100,000 (EUR 911). Customer 
registration and deposits are free. Cus- 
tomers then pay a small fee of between 
(KES 0 - KES 350/EUR 3.19) depending 
on the transaction amount, for person- 
to-person (P2P) transfers, bill payments 
and withdrawals. A fee of KES 10 / EUR 
0.091 is charged for balance inquiries. 
Individual customer accounts are main- 
tained in servers that are owned and 
managed by Safaricom. Safaricom de- 
posits the full value ofits customers’ ba- 
lances on the system in pooled accounts 
in two banks (CBA and KCB). Thus, Sa- 
faricom issues and manages the M-PESA 
accounts, but the value in the accounts 
is fully backed by highly liquid deposits 
at commercial banks. M-PESA is useful 
as a retail payment platform because it 
has extensive reach into large segments 
ofthe population. 98% of businesses in 
Kenya accept M-PESA. 


A simple User Interface 


The simplicity of M-PESA’s message 
has been matched by the simplicity of 
its user interface. The M-PESA user in- 
terface is driven by an application that 
runs from the user’s mobile phone. The 
service can be launched right from the 
phone’s main menu, making it easy for 


* Presse sen following adrertisement far a It ol Autharned M PESA Ageetı. 
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users to find. The menu loads quickly 
because it resides on the phone and 
does not need to be downloaded from 
the network each time it is called. The 
menu prompts the user to provide the 
necessary information, one prompt at 
a time. For instance, for a P2P transfer, 
the user willbe asked to enter the desti- 
nation phone number, the amount ofthe 
transfer, and the personal identification 
number (PIN) ofthe sender. Once allthe 
information is gathered, it is fed back 
to the customer for final confirmation. 
Once the customer hits ‚OK’, it is sent to 
the M-PESA server in a single text mes- 
sage. Consolidating all information into 
a single message reduces messaging 
costs, as well asthe risk of the transac- 
tion request being interrupted half-way 
through. A final advantage is that the 
application can use the security keys in 
the user’s SIM card to encrypt messages 
end-to-end, from the user’s handset to 
Safaricom’s M-PESA server. 


M-PESA’s Service Evolution 


M-PESA’s original core offering was 
the P2P payment - enabling customers 
to send money to anyone with access to 
a mobile phone. It opened up a market 
for transactions which previously were 
handled largely informally - through per- 
sonal trips, friends, and public transport 
networks. Many P2P transactions can be 
characterized as scheduled payments 
(such as sending a part of your salary to 
relatives back home), but many represent 
a basic form of finance, where people can 
draw on amuch broader network of family 
members, friends, and business associates 
to access money as and when required. 

Thus, M-PESA not only introduces a 
large measure of convenience to trans- 
actions that were already occurring, but 
it also enables a basic form of financial 
protection for a large number of users 
by enabling a network for instant, ‘on 
demand’ payments. In recent years, Sa- 
faricom has increasingly opened up M- 
PESA to institutional payments - enab- 
ling companies to pay salaries, collect 
bill payments and perform in-store 
purchases. Thus making M-PESA the 
market leader locally with more than 
900 transactions per second. 

The mobile financial services industry 
has grown significantly overthe past ye- 
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ars since inception in 2007. The growth 
and viability of these services relies 
heavily on the existence of a payment 
platform that is convenient, easyto use, 
traceable and secure. The emergence 
of innovative mobile phone money 
transfers has put Kenya on the world’s 
payment system map. It is notable that 
M-PESA has greatly enhanced access to 
financial services. 

In particular, M-PESA has moved from 
the traditional role of transferring mo- 
ney to provision of banking services 
to both banked and unbanked. Com- 
mercial banks have partnered with Sa- 
faricom to enable customers to access 
their bank accounts through mobile 
phones. Mobile phones can be used for 
opening and operating virtual bank ac- 
counts (M-Shwari and KCB M-PESA) and 
access to traditional banking services 
like depositing, withdrawing and credit 


facilities without physical representati- 
ontothe bank. 

Of late they have now a loan and sa- 
ving service right in M-PESA called M- 
Shwari. 


E-Payments in Kenya 


The last ten years has seen a steady 
rise in electronic payments in Kenya 
with banks, mobile operators and elec- 
tronic payment firms focusing on the 
hundreds of thousands of small busi- 
nesses in Kenya by introducing new 
products specifically aimed at paying for 
low-value transactions with ease, speed, 
and convenience. But the adoption of 
card-based (online & POS terminals) 
transactions in Kenya has been very 
slow. Most people don’t trust electronic 
payments and some don't have bank ac- 
counts, people still believe in hard cash 


Deutsche Übersetzung (durch die Redaktion) 


Eine Fallstudie zu M-PESA als einer Form der 
elektronischen Zahlung 


Was ist M-PESA? 


M-PESA („M” für Mobilgeräte und 
„PESA” für Geld auf Suaheli) ist ein elekt- 
ronisches Zahlungs- sowie elektronisches 
Brieftaschensystem, das über Mobiltele- 
fone zugänglich ist. M-PESA wurde von 
Vodafone entwickelt und im März 2007 in 
Kenia durch die Tochtergesellschaft Sa- 
faricom eingeführt und ist derzeit Afrikas 
erfolgreichster mobiler Gelddienst. Es bie- 
tet Zugang zu finanziellen Dienstleistun- 
gen für Millionen von Menschen, die zwar 
ein Mobiltelefon aber kein Bankkonto 
bzw. nur einen eingeschränkten Zugang 
aufihr Bankkonto haben. 

M-PESA bietet Menschen einen 
sicheren und erschwinglichen Weg 
Geld zu senden und zu empfangen. 
Sie können damit Mobilfunkgebühren 
aufladen, Rechnungen bezahlen, Ge- 
hälter empfangen, kurzfristige Darle- 
hen erhalten und vieles mehr. M-PESA 
hat seit der Einführung in Kenia ein 
außergewöhnliches Wachstum ver- 
zeichnet. 
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Einführung 


Bezahlung ist ein wichtiges Thema in 
jedem Unternehmen. Der Cashflow wird 
als einer der entscheidenden Erfolge an- 
gesehen, genauso wie der Informations- 
und Produktfluss. Dieser Artikel befasst 
sich mit der in Kenia verwendete Form 
der elektronischen Bezahlung, bekannt 
als M-PESA. 

Elektronische Bezahlung oder E-Pay- 
ment ist die Zahlung von Geld für Waren 
oder Dienstleistungen ohne den physi- 
schen Austausch von Bargeld. 


M-PESA auf den Punkt gebracht 


Um auf den Dienst zugreifen zu kön- 
nen, müssen sich Kunden zunächst in 
einem autorisierten M-PESA-Einzelhan- 
delsgeschäft registrieren. Hierbei wird 
ein E-Wallet-Konto aktiviert, das mit 
der SIM-Karte verknüpft ist. Kunden 
können dann in verschieden Einzelhan- 
delsgeschäften, die auch als M-PESA- 
Agenten bezeichnet werden, Bargeld 


or cheque payments. Then came M-PESA 
which allowed even the unbanked po- 
pulation to start saving on their mobi- 
les. This pushed mobile transactions as 
the mostly used form of e-payment in 
Kenya. 

M-PESA can be credited with the 
steady rise of e-commerce businesses 
in Kenya, right now the local leader 
jumia.co.ke does 85% of its transac- 
tions via M-PESA. It is basically hustle- 
free online shopping, no credit cards, 
no bank details required. Allthe custo- 
mer does at checkout is pay the shop- 
ping value to a particular merchant 
paybill number that will be displayed 
onthescreen, andthe customer willre- 
ceive a confirmation message instantly, 
transaction done! 

All major supermarkets and nearly all 
online shops in Kenya accept M-PESA 
payments via a paybill or tillnumber. 


auf das E-Wallet-Konto aufladen und 
auch abheben. Für jede dieser Trans- 
aktionen erhalten die M-PESA-Agenten 
eine Gebühr von Safaricom. 

Sobald Kunden Guthaben auf ihren M- 
PESA-Konten haben, können sie mit Hilfe 
des Handys Geld mit anderen M-PESA- 
Nutzern austauschen und sogar Geld an 
nicht-M-PESA-Kunden überweisen, Rech- 
nungen bezahlen und mobile Onlinezeit 
kaufen. Alle Transaktionen werden unter 
Verwendung von sicherer SMS-Technik 
autorisiert und in Echtzeit aufgezeichnet. 
Das Transaktionslimit beträgt 100.000 KES 
(ca. 911 Euro). Kundenregistrierung und 
Einzahlungen sind kostenlos. Ansonsten 
zahlen Kunden eine geringe Gebühr zwi- 
schen KES 0 und KES 350 (ca. 3,19 Euro), 
abhängig vom Transaktionsbetrag für di- 
rekteÜberweisungen von einer Person zur 
anderen (P2P), Bezahlung von Rechnun- 
gen sowie Geld-Abhebungen. Für Konto- 
standsabfragen wird eine Gebühr von KES 
10 (ca. 9 Cent) erhoben. 

Die Kundenkonten werden auf Ser- 
vern verwaltet, die Eigentum von Sa- 
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faricom sind und von Safaricom verwal- 
tet werden. 

Safaricom zahlt den vollen Wert der 
Guthaben seiner Kunden auf gepoolte 
Konten der Banken CBA und KCB ein. 
Somit gibt Safaricom zwar die M-PESA- 
Konten aus und verwaltet sie, aber das 
Guthaben der Konten ist vollständig 
durch hochliquide Einlagen bei Ge- 
schäftsbanken gedeckt. 

M-PESA ist als Zahlungsplattform für 
Privatkunden nützlich, da es eine große 
Reichweite in der Bevölkerung hat. 98% 
der Unternehmen in Kenia akzeptieren 
M-PESA. 


Ein einfaches User-Interface 


Die Simplizität der M-PESA-Nachrich- 
ten wurde mit der Simplizität des User- 
Interfaces gepaart. 

Das M-PESA-User-Interface ist eine 
Anwendung, die vom Mobiltelefon des 
Benutzers ausgeführt wird. Der Dienst 
kann direkt über das Hauptmenü des 
Telefons gestartet werden, so dass Be- 
nutzer ihn leicht finden können. Das 
Menü wird schnell geladen, da es sich 
auf dem Telefon befindet und nicht bei 
jedem Aufruf erst aus dem Netz herun- 
tergeladen werden muss. 

Das Menü führt die Nutzer Schritt 
für Schritt durch die Anwendung, 
um die notwendigen Informationen 
bereitzustellen. Zum Beispiel wird 
bei einer P2P-Überweisung die Te- 
lefonnummer des Empfängers, der 
Überweisungsbetrag und die persön- 
liche Identifikationsnummer (PIN) 
des Senders abgefragt. Nachdem alle 
Informationen eingegeben wurden, 
erhält der Kunde eine Übersicht aller 
Informationen zur Prüfung und Bestä- 
tigung. Klickt der Kunde dann auf OK, 
werden die Daten per Textnachricht an 
den M-PESA-Server geschickt. Durch 
die Konsolidierung aller Informatio- 
nen in einer einzigen Nachricht wer- 
den die Messaging-Kosten reduziert 
und das Risiko eingedämmt, dass die 
Transaktionsanforderung mitten drin 
unterbrochen wird. Ein letzter Vorteil 
ist, dass die Anwendung die Sicher- 
heitsschlüssel auf der SIM-Karte des 
Benutzers verwenden kann, um Nach- 
richten Ende-zu-Ende zu verschlüs- 
seln; also vom mobilen Gerät bis zum 
M-PESA-Server bei Safaricom. 
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Service-Evolution von M-PESA 


Das ursprüngliche Kernangebot von 
M-PESA war das P2P-Payment, mit dem 
Kunden Geld an jeden senden können, 
der Zugang zu einem Mobiltelefon hat. 
So entstand ein Markt für Geldtransfers, 
der zuvor weitgehend informell gehand- 
habt wurde - durch persönliche Reisen, 
Freunde und öffentliche Verkehrsnet- 
ze. Viele P2P-Transaktionen können 
geplant und terminiert werden. Zum 
Beispiel das Senden eines Teils vom Ge- 
halt an Verwandte zu Hause. Doch viele 
Dienste repräsentieren eine Grundform 
der Finanzierung, durch die Nutzer ein 
viel breiteres Netzwerk von Familienmit- 
gliedern, Freunden und Geschäftspart- 
nern haben, auf das sie bei Geldbedarf 
zurückgreifen können. 

Somit bietet M-PESA nicht nur ein ho- 
hes Maß an Bequemlichkeit für Transak- 
tionen, für die es ursprünglich gedacht 
war, sondern ermöglicht auch eine 
Grundform des finanziellen Schutzes für 
eine Vielzahl von Anwendern, indem ein 
Netzwerk von Diensten für On-Demand- 
Payment bereitgestellt wird. In den letz- 
ten Jahren hat Safaricom M-PESA mehr 
und mehr für institutionelle Zahlungen 
geöffnet, so dass Unternehmen Gehäl- 
ter zahlen können, Rechnungen gesam- 
melt gezahlt und Einkäufe in Geschäften 
durchgeführt werden können. Mit mehr 
als 900 Transaktionen pro Sekunde ist M- 
PESA der lokale Marktführer (Anmerkung 
der Redaktion: bezogen auf Kenia). 

Die mobile Finanzdienstleistungs- 
branche ist in den letzten Jahren seit 
der Etablierung im Jahr 2007 erheblich 
gewachsen. Das Wachstum und die Ren- 
tabilität dieser Dienste hängen stark 
von der Existenz von Zahlungsplattfor- 
men ab, die bequem, benutzerfreund- 
lich, rückverfolgbar und sicher sind. 
Dank der innovativen Entwicklung von 
Geldtransfers für Mobiltelefone wurde 
Kenia auf die Payment-System-Weltkar- 
te gesetzt. Es ist bemerkenswert, dass 
M-PESA den Zugang zu Finanzdienst- 
leistungen erheblich verbessert hat. 

Insbesondere hat sich M-PESA von der 
traditionellen Rolle des Geldtransfers 
zur Bereitstellung von Bankdienstleis- 
tungen für Kunden mit oder ohne klas- 
sisches Konto entwickelt. 

Bankgesellschaften haben mit Sa- 
faricom zusammengearbeitet, um Kun- 


den Zugriff auf ihre Bankkonten per 
Mobiltelefon zu ermöglichen. Handys 
können zur Eröffnung und zur Ver- 
waltung virtueller Bankkonten von 
M-Shwari und KCB verwendet werden 
und ermöglichen so den Zugang zu tra- 
ditionellen Bankdienstleistungen wie 
Einzahlungen, Abhebung und Über- 
weisungen ohne eine Bank physisch 
aufsuchen zu müssen. 

Neuerdings gibt es auch einen Kredit- 
und Sparservice in M-PESA. Der Dienst 
heißt M-Shwari. 


E-Payments in Kenia 


In den letzten zehn Jahren hat der 
elektronische Zahlungsverkehr in Kenia 
mit Banken, mobilen Anbietern und E- 
Payment-Firmen stetig zugenommen, 
die sich auf Hunderttausende kleine 
Unternehmen in Kenia konzentrieren 
und speziell darauf abzielen, durch die 
Einführung ihrer Produkte eine schnel- 
le, einfache und unkomplizierte Bezahl- 
möglichkeit zu bieten. 

Die Einführung von kartenbasierten 
Transaktionen, sowohl online als auch 
an POS-Terminals, war sehr langsam. 
Die meisten Menschen vertrauen elek- 
tronischer Bezahlung nicht und haben 
kein Bankkonto. Die Menschen glauben 
immer noch an Bargeld oder Schecks. 
Doch dann kam M-PESA, das es sogar 
der Bevölkerung ohne Bankkonten er- 
möglichte, per Handy mit dem Sparen 
zu beginnen. Das führte dazu, dass die 
mobile Transaktion in Kenia die am häu- 
figsten verwendete Form des elektroni- 
schen Zahlungsverkehrsist. 

M-PESA kann der stetige Anstieg 
der E-Commerce-Unternehmen in Ke- 
nia zugeschrieben werden. Der lokale 
Marktführer jumia.co.ke führt 85% sei- 
ner Transaktionen über M-PESA durch. 
Es ist im Grunde genommen einfaches 
Online-Shopping, bei dem weder Kredit- 
karten noch Bankverbindung erforder- 
lich ist. Alles, was der Kunde an der Kas- 
se macht ist an eine bestimmte Händler- 
Rechnungsnummer zu bezahlen, die auf 
dem Display angezeigt wird. Der Kunde 
erhält postwendend eine Bestätigungs- 
nachricht, dass die Transaktion abge- 
schlossen ist. Alle großen Supermärkte 
und fast alle Online-Shops in Kenia ak- 
zeptieren M-PESA-Bezahlung über Pay- 
bill oder Kassennummer. 
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PSD2 - Verbraucherschutz in einer digital vernetzten 


Gesellschaft 


Stellen Sie sich vor, Ihnen wird in 
Ihrer Shopping App ein Fahrrad ange- 
zeigt, dass Ihr Interesse weckt. Stellen 
Sie sich dann vor, Sie können über die 
gleiche App Ihren Kontostand einse- 
hen und überprüfen, ob Sie sich den 
Kauf des Fahrrads leisten können und 
wie die Zukunftsprognose Ihres Konto- 
standes aussieht, wenn Sie sich jetzt 
das Fahrrad kaufen. Stellen Sie sich 
vor, Ihre App zeigt Ihnen gleichzeitig 
an, welchen Ihrer sonstigen Verträge 
für Strom oder Versicherungen Sie bei 
welchem Anbieter günstiger abschlie- 
ßen können, sodass Sie Kosten ein- 
sparen und das gewünschte Fahrrad 
so finanzieren können. Und wenn Sie 
das Fahrrad sofort wollen, wird Ih- 
nen ein Kredit zur direkten Echtzeit- 
Auszahlung angeboten, den Sie in der 
App in wenigen Minuten abschließen 
können. Auch die Zahlung können Sie 
unmittelbar aus Ihrer Shopping App 
heraus auslösen. Und nun stellen Sie 
sich vor, dass das alles möglich ist, 
ohne dass Sie sich ernsthaft Gedanken 
über den Missbrauch Ihrer Daten ma- 
chen müssen. 

Was wie ein Zukunftsszenario 
klingt, ist bereits heute möglich, und 
das seit dem 14. September 2019. Zu 
diesem Stichtag mussten offiziell 
alle Banken die Vorgaben der neuen 
Zahlungsrichtlinie PSD2 (Payment 
Service Directive) technisch umset- 
zen. Die Richtlinie schreibt Banken 
vor, sogenannten Drittanbietern, die 
nicht nur Banken oder Finanzdienst- 
leister sein müssen, auf Kunden- 
wunsch Zugang zu deren Kontodaten 
zu gewähren. Demnach ist eine direk- 
te Interaktion zwischen dem Kunden 
und der Bank nicht mehr zwingend 
erforderlich. Kunden müssen bei- 
spielsweise bei der Abwicklung von 
Zahlungen nicht mehr zwingend auf 
ihr Bankkonto zugreifen, sondern 
können Drittanbieter dazu nutzen. 
Doch der Reihe nach. 
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Einführung der ersten Zahlungs- 
diensterichtlinie PSD 


In 2007 hatte die Europäische Uni- 
on die Grundidee, einen einheitlichen 
Markt für Europas elektronische und 
nicht-elektronische Zahlungsdienste 
zu schaffen. Den gesetzlichen Rahmen 
für dieses Vorhaben sollte die erste Zah- 
lungsdiensterichtlinie PSD stellen. 

Ziel für die Zahlungsbranche war es, 
neben einer großen Auswahl an Zah- 
lungsdienstleistungen für die Bürger 
der Europäischen Union (inklusive Nor- 
wegen, Island und Liechtenstein) den 
europäischen Wettbewerb durch die 
Teilnahme von Nicht-Banken zu verstär- 
ken. Dritte sollten vermehrt die Mög- 
lichkeit bekommen am Finanzsektor zu 
partizipieren und beispielsweise Finan- 
zierungsdienste wie Lastschrift-, Über- 
weisungs- und Zahlungskartentransfer- 
geschäft anbieten zu dürfen. 

Ziel in Bezug auf den Verbraucher 
war es, dessen Rechte zu erhöhen und 
schnellere Zahlungen zu garantieren. 
Denn gleichzeitig mit der PSD trat die 
Rechtsgrundlage für Europas Banken- 
Zahlungsinfrastruktur, besser bekannt 
als Single Euro Payment Area (SEPA) in 
Kraft. Mit ihr wurden Zahlungen für Ver- 
braucher schneller und transparenter 
und brachten ein Anrecht auf Rücker- 
stattungen mit sich. 

Trotz der genannten Vorteile für euro- 
päische Händler und Endkonsumenten 
wurde das ambitionierte Ziel der PSD, 
eine größere Auswahl an Zahlungs- 
dienstleistungen zu schaffen, nicht 
erreicht. Deshalb stellte die EU im Jahr 
2013 den Antrag auf eine Neufassung 
der Zahlungsdiensterichtlinie und rief 
2019 die PSD2 ins Leben. 


PSD2 nimmt den Verbraucherschutz 
stärker ins Visier 


Die neue Zahlungsdiensterichtlinie 
PSD2 soll nicht nur die Entwicklung 


neuer, innovativer Bezahlarten, wie 
z.B. dem eWallet antreiben, sondern 
sie fasst auch den Datenschutz und die 
Sicherheit des Endnutzers bei elektro- 
nischen Zahlungen stärker ins Auge. So 
soll nicht nur die Sicherheit von Zah- 
lungsdiensten erhöht werden, sondern 
auch der Verbraucherschutz bei Online- 
Zahlungen verbessert werden. Immer 
mit dem Ziel den digitalen europäischen 
Binnenmarkt so zu gestalten, dass er 
sowohl Verbrauchern als auch Unter- 
nehmen zugutekommt. 

In diesem Sinne besteht das Regula- 
rium aus zwei wesentlichen Inhalten: 
der Zweifaktorauthentifizierung (2FA) 
und der Schnittstellenöffnung. 

Die Zweifaktorauthentifizierung fo- 
kussiert die Sicherheit bei Online-Zah- 
lungen. Demnach müssen sich Kunden 
seit dem 14. September 2019 bei der 
Abfrage ihrer Kontoinformationen so- 
wie der Ausführung von Transaktionen 
zweifach authentifizieren. Diese Über- 
prüfung erfolgt anhand einer Kombi- 
nation der Elemente Wissen, Besitz 
und Biometrie. Üblicherweise wird hier 
neben den Login-Daten (Wissen) eine 
weitere Authentifizierung des Kunden 
verlangt, um den Zugriff auf dessen 
Bankkonto zu ermöglichen. Lästige Pa- 
pier-Tans werden dabei entweder durch 
App-basierte Verfahren, physische Tan- 
Generatoren (Besitz) oder Fingerscans 
und Gesichtserkennung (Biometrie) 
ersetzt. Die Zweifaktorauthentifizie- 
rung soll Unbefugten den Zugriff auf 
das Bankkonto des Kunden deutlich er- 
schweren bzw. unmöglich machen. 

Die Schnittstellenöffnung oder Open 
Banking, wie es im Fachjargon heißt, 
ermöglicht es Drittdienstleistern, mit 
Zustimmung des Kunden Zugriff auf 
dessen Kontodaten zu erhalten. Um dies 
zu ermöglichen, müssen Banken ein Ap- 
plication Programming Interface (API), 
also eine einheitliche Programmier- 
schnittstelle, bereitstellen. Auf dieser 
Basis kann jedes Unternehmen, das eine 
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Lizenz für die Erbringung von Finanz- 
dienstleistungen besitzt, relevante Lö- 
sungen für Bankkunden entwickeln und 
sich an die Schnittstellen andocken. 

Mit Hilfe dieser Kontozugänge soll ein 
Netzwerk aus bereits existierenden und 
neuen Lösungsanbietern entstehen. 
Hier kommen die so genannten Account 
Information Service Provider (AISPs) 
und Payment Initiation Service Provider 
(PISPs) ins Spiel. 


AISPs und PISPs 


Drittanbieter können im Rahmen der 
PSD2 als Kontoinformationsanbieter 
(AISP) oder Zahlungsauslöser (PISP) 
agieren. 

Verfügt ein Kunde über mehr als ein 
Konto, besitzt er die Möglichkeit, einem 
AISP den Zugriff auf alle seine Konten 
zu gewähren, damit dieser die Informa- 
tionen der verschiedenen Konten kon- 
solidieren und analysieren kann. Der 
Kunde kann somit alle seine Transaktio- 
nen und Kontostände auf einer Oberflä- 
che verwalten. Derartige Multibanking- 
Apps ä la Finanzguru existierten zwar 
bereits vor der Einführung der PSD2, 
seit dem 14. September 2019 müssen sie 
sich aber an strenge regulatorische An- 
forderungen halten. 

Darüber hinaus können Drittanbie- 
ter den Kunden auch als Zahlungsaus- 
lösedienste dienen. Die PISPs können 
im Kundenauftrag Zahlungen auslösen 
und bieten somit eine für den Kunden 
komfortable Alternative zur konventi- 
onellen Online-Zahlung per Kreditkar- 
te. Dabei initiiert der PISP per Login in 
das Online Banking des Kunden eine 
Transaktion und löst die Überweisung 
in Echtzeit aus dem Kundenkonto der 
kontoführenden Bank aus. 

Auch Zahlungsauslösedienste, wie 
das ursprünglich deutsche Unterneh- 
men Sofortüberweisung, gab es bereits 
vor der Einführung der PSD2, jedoch 
ohne vollständig reguliert zu sein. 


Das Nutzerpotenzial für Unterneh- 
men und Verbraucher 


Im Rahmen der PSD2 kann jedes Unter- 
nehmen unter gewissen Voraussetzungen 
als Drittanbieter agieren: u.a. FinTechs, 
BigTechs wie zum Beispiel Google, Ama- 
zon oder Apple aber auch Online Händler. 
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Letztere haben z.B. die Möglichkeit 
mittels eigener Zahlungsdienste wert- 
volle Informationen über das Kaufver- 
halten ihrer Kunden zu gewinnen. Ein 
bekanntes Beispiel ist der Online Händ- 
ler Zalando, der mit der Zalando Payment 
GmbH bereits einen eigenen Zahlungs- 
dienst etabliert hat. Basierend auf den 
analysierten Kundendaten können so 
gezielte Produktangebote an die Kunden 
adressiert werden. Dies hebt die Kunden- 
bindung noch einmal auf ein anderes Ni- 
veau. Gleichzeitig können Online Händ- 
ler schnellere Lieferzyklen einhalten, da 
Verzögerungen durch die Zahlungsab- 
wicklung vermieden werden. 

Auch für Banken bietet die PSD2 ent- 
scheidende Vorteile. Denn nicht nur 
die Konkurrenten der Banken, sondern 
auch die Finanzinstitute selbst erhalten 
mehr Informationen über ihre Kunden. 
Deren Konto- und Transaktionsdaten 
bei anderen Instituten sind dabei be- 
sonders wertvoll. Banken können z.B. 
Kreditzusagen verteilen, ohne die typi- 
schen papierhaften Gehaltsnachweise 
des Kreditanfragenden anzufordern. Mit 
Zustimmung des Anfragenden können 
sie auf das Gehaltskonto des Kunden bei 
einem anderen Institut zugreifen und 
eine direkte Prüfung anhand der Geld- 
flüsse durchführen. Die Bearbeitung 
von Kreditanfragen wird so leichter, 
schneller und günstiger. 

Aber natürlich birgt die PSD2 auch 
Risiken für die etablierten Finanzinsti- 
tute, da sie ihr Monopol auf die Konto- 
daten der Kunden aufgeben müssen. Als 
größte Konkurrenten werden in diesem 
Zusammenhang die BigTechs gesehen. 
Diese verfügen nicht nur über große 
Innovationsbudgets und technische 
Ressourcen, sondern im Gegensatz zu 
den FinTechs auch über eine enorme 
Kundenreichweite. Google und Apple 
sind bereits mit ihren Bezahllösungen 
GooglePay und ApplePay in den deut- 
schen Zahlungsverkehr vorgedrungen. 
Weitere Lösungen werden folgen. In 
den USA vergibt Amazon unter dem La- 
bel „Amazon Lending“” bereits Kredite, 
Facebook macht Überweisungen via 
WhatsApp möglich und Google plant für 
dieses Jahr eigene Girokonten einzu- 
führen. 

Wer von diesem Wettbewerb und dem 
Wettlauf um die Innovationen in der Fi- 
nanzbranche profitiert, ist der Endver- 


braucher. Maßgeschneiderte Angebo- 
te, mehr Komfort beim Bezahlen, eine 
bessere User Experience, und natürlich 
eine höhere Sicherheit bei der Online- 
Bezahlung sollen dem einzelnen Kun- 
den im Zuge der PSD2 geboten werden. 


Der Datenschutz spielt in der PSD2 
eine wesentliche Rolle 


Insbesondere die Frage nach dem Da- 
tenschutzaspekt beschäftigt viele Ver- 
braucher, schließlich kann nun theore- 
tisch jeder fremde Anbieter Zugriff aufdie 
eigenen Kontodaten bekommen, oder? 

So einfach ist es dann doch nicht. 
Jeder Anbieter, ob Online Händler, Fin- 
Tech oder Bank muss natürlich gewisse 
Spielregeln befolgen: 

Erstens, es ist keinem Drittanbieter 
erlaubt, ob AISP oder PISP, die per- 
sonenbezogenen Daten ohne die aus- 
drückliche Zustimmung des Nutzers 
abzurufen, zu verarbeiten oder zu spei- 
chern (gemäß Art. 94 II. PSD). Durch 
den Verweis auf die seit dem 25. Mai 
2018 geltende Datenschutz-Grundver- 
ordnung (Art. 6 Abs. 1a; DSGVO) kann 
diese Einwilligung mündlich, schriftlich 
oder elektronisch erfolgen, muss jedoch 
ausdrücklich erbracht werden und darf 
sich nicht aus den Umständen ergeben. 
Eine Möglichkeit zur Einholung dieser 
Einwilligung ist die Datenschutzerklä- 
rung. Die PSD2 legt dabei in Verbindung 
mit der DSGVO großen Wert auf Transpa- 
renz und Verständlichkeit. Dem Kunden 
muss also in einfacher und verständli- 
cher Sprache erklärt werden, wozu ge- 
nau eingewilligt wird. 

Zweitens, Drittdienstleister müssen 
den Grundsatz der Zweckbindung be- 
folgen, welcher eine klare Zuordnung 
der Erhebung von Daten zu einem be- 
stimmten Zweck erfordert, der bei 
der Erhebung deutlich erkennbar sein 
muss. Demnach dürfen AISPs und PISPs 
nur die Daten speichern, verarbeiten 
und nutzen, die für den vom Verbrau- 
cher erlaubten Zweck notwendig sind. 
Drittdienstleister dürfen die erhobe- 
nen Daten beispielsweise nicht ohne 
Einwilligung des Kunden für Werbung 
verwenden. Somit wird dem Risiko einer 
Zweckentfremdung der Kundendaten 
entgegengewirkt. 

Drittens, Drittdienstleister müssen 
sowohl gegenüber Banken als auch ge- 
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genüber Betroffenen den Grundsatz 
der Datenminimierung (Art. 5 Abs. 1c 
DSGVO) berücksichtigen, d.h. es dür- 
fen nie mehr Daten erhoben werden, 
als für die Umsetzung des entsprechen- 
den Kundenauftrages erforderlich sind. 
Demnach genügt es, wenn die Bank dem 
Zahlungsauslösedienstleister mitteilt, 
ob der angefragte Transaktionsbetrag 
verfügbar ist und entsprechend ausge- 
zahlt wird. Dieser Grundsatz soll sicher- 
stellen, dass Daten nicht unangemessen 
erhoben und verarbeitet werden. 

Viertens, im Zuge der Produktent- 
wicklung müssen Drittanbieter da- 
tenschutzrechtliche Voreinstellungen 
treffen (Privacy by Design & Privacy by 
Default), sodass während der gesamten 
Produktentwicklung der Schutz bezo- 
gener Daten bereits integriert ist. Dem- 
nach müssen Auftragsverarbeiter geeig- 
nete technische und organisatorische 
Maßnahmen treffen, um dem Kunden 
ein angemessenes Schutzniveau zu ge- 
währleisten (Art. 32 DSGVO). Damit soll 
die Verarbeitung personenbezogener 
Daten auf ein Minimum reduziert wer- 
den, was z.B. durch die Pseudonymisie- 
rung und Verschlüsselung personenbe- 
zogener Daten erfolgen kann. 


Dr. Susanne Holzgraefe 


Zu guter Letzt brauchen Drittanbieter 
eine Lizenz mit definierten Zugriffsbe- 
rechtigungen, um die Schnittstellen der 
Banken nutzen zu können. Eine solche 
Lizenz vergibt die BaFin oder eine ver- 
gleichbare europäische Behörde. Somit 
ist die Befürchtung der Verbraucher, 
dass jeder Anbieter mit der Einführung 
der PSD2 Zugriff auf die Kontodaten er- 
hält, unbegründet. 


Vernetzte Gesellschaft und Daten- 
schutz - das kann funktionieren 


Es bestehen zahlreiche Vorteile der 
PSD2 für Banken, Drittanbieter und 
Endverbraucher, sodass wir dem Modell 
einer vernetzten Gesellschaft etwas nä- 
hergekommen sind. Zudem werden mit 
der PSD2 sowie der DSGVO auch sämtli- 
che Aspekte des Verbraucherschutzes 
adressiert. Die Möglichkeit von Drittan- 
bietern, sich via Schnittstelle Zugriff zu 
den Kunden- und Transaktionsdaten bei 
etablierten Banken zu verschaffen, mag 
Verbraucher auf den ersten Blick ab- 
schrecken, jedoch sind Befürchtungen 
eines Datenmissbrauchs unbegründet, 
da sich die Drittdienstleister an stren- 
ge Vorgaben halten müssen. Sollten sie 


diese nicht einhalten, droht ihnen eine 
Strafe von bis zu 20 Mio € oder 4% ihres 
Jahresumsatzes. Weiterhin bietet die 
Zweifaktorauthentifizierung den Bank- 
kunden einen Sicherheitsstandard, der 
den Zugriff Unbefugter auf das Kunden- 
konto quasi unmöglich macht. 

Trotz der erwähnten Vorteile ist das 
Potenzial der PSD2 noch lange nicht 
ausgeschöpft. Während sich Dritt- 
dienstleister mit den Anforderungen 
des Regulators arrangieren, nähern sich 
Banken der Ausschöpfung des Potenzi- 
als nur schwerfällig an. Die Verbraucher 
können sich hingegen auf weitere in- 
novative Produkte am Finanzmarkt und 
sämtliche weiteren Benefits freuen. 

Denn in naher Zukunft wird aus dem 
heute schon Möglichen Realität. Dann 
kann auch ich als Kunde den Erwerb 
meines Fahrrads und damit einherge- 
hend sämtliche Finanzangelegenheiten 
bequem aus meiner Shopping App her- 
aus managen, ohne mir dabei Gedanken 
über die Weitergabe meiner Daten ma- 
chen zu müssen. 

Reizvolle Aussichten auf dem Weg 
zu einer vollständig vernetzten Gesell- 
schaft. 


Oyster Card, OV Chipkaart und MoBIB-Karte unter der 


Datenschutz-Lupe 


Nutzung des öffentlichen Nahver- 
kehrs, ohne lästiges Ticketziehen; eine 
Art Geldkarte, dieim Vorfeld aufgeladen 
und von der am Fahrtende der entspre- 
chende Betrag für die Fahrt abgezogen 
wird. „Pay As You Go“ (PAYG) nennen es 
die Briten. 

London war hier mit der Oyster Card! 
der Vorreiter. Für eine Gebühr von £5 
kann jeder, selbst Touristen, an den 
Schaltern in den Stationen der Londo- 
ner-U-Bahn (Tube) und an den Flug- 
häfen eine Oyster Card bekommen. Vor 
dem ersten Fahrtantritt muss die Karte 
aufgeladen werden. Ist nicht mehr ge- 
nügend Geld für eine Fahrt auf der Kar- 
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te, verweigert das Schrankensystem in 
den Stationen den Zugang zum Bahn- 
steig. Überall in den Stationen finden 
sich Automaten, an denen das Gutha- 
ben der Karte eingesehen und die Karte 
entweder mit Bargeld oder per Giro- bzw. 
Kreditkarte aufgeladen werden kann. 
Die Oyster Card ist quasilebenslang gül- 
tig. Wird sie doch zurückgegeben, wird 
das noch vorhandene Guthaben auf der 
Karte zurückerstattet. 

Überall in den Stationen gibt es auf 
dem Weg zu den Bahnsteigen Schran- 
ken, die das Vorhalten der Oyster Card 
unumgänglich machen. Ist genügend 
Guthaben auf der Karte, öffnet sich die 


Schranke. Ist nicht mehr genügend 
Mindestguthaben für eine Fahrt auf 
der Karte, so teilt das die Schranke mit. 
Die Karte muss dann erst an einem der 
umstehenden Automaten in der Stati- 
on aufgeladen werden. Nach Ende einer 
Fahrt ist die Karte erneut an der Schran- 
ke am Ausgang vorzuhalten. Es wird an- 
gezeigt, was die Fahrt gekostet hat und 
der Betrag von der Karte abgezogen. Da- 
nach öffnet sich die Schranke. 
Abgerechnet wird also nur, wenn auch 
wirklich gefahren wurde: Pay As You Go 
- Zahle, wenn Du hinausgehst. Darüber 
hinaus können sogenannte Season-Ti- 
ckets, z.B. Wochen- und Monatskarten 
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sowie Bus-Pässe auf die Oyster Card ge- 
laden werden. 

Das Oyster-System wurde 2003 einge- 
führt und bereits zehn Jahre später wa- 
ren 60 Millionen Karten im Umlauf.? Die 
Engländer waren damals nicht die einzi- 
gen, die ein Chipkarten-System für den 
öffentlichen Nahverkehr entwickelten. 
Die Niederländer führten 2005 in Rot- 
terdam die OV Chipkaart ein. Seit 2012 
gibt es die OV Chipkaart in den gesam- 
ten Niederlanden.’ Auch Brüssel schloss 
sich dem Trend an und führte 2008 die 
MoBIB-Karte‘ ein. Für den Fahrgast 
sieht es auf den ersten Blick so aus, als 
seien die Systeme sehr ähnlich, doch 
sie unterscheiden sich in vielen kleinen 
Details. 

Auch in Deutschland gibt es immer 
mal wieder Kommunen, die ein „a la 
Oyster”-Systemin Erwägung ziehen und 
sogar streckenweise testen. 

Wie aber sieht das bei den drei Syste- 
men aus London, den Niederlanden und 
Brüssel mit dem Datenschutz aus? Sind 
die Karten anonym oder personalisiert? 
Werden Fahrgäste ausreichend infor- 
miert? Wie transparent sind die Syste- 
me? Wie freiwillig ist eine Registrierung 
der Karte? Fragen, die hier genauer un- 
ter die Lupe genommen werden. 


Anonymität 
Ist die Oyster Card anonym nutzbar? 


Am Anfang ist sie in jedem Fall ano- 
nym. Wird sie tatsächlich nur als PAYG 
genutzt und stets mit Bargeld aufge- 
füllt, bleibt sie anonym. 

Selbstverständlich lässt sich heut- 
zutage die Oyster Card auch bargeldlos 
auffüllen. Hierbei lässt sich nachvollzie- 
hen, an welchem Automaten in welcher 
Station die Karte von wem aufgeladen 
wurde. Wobei das „von wem“ die Person 
ist, deren bargeldlose Zahlungsmöglich- 
keit genutzt wurde. Das muss nicht die 
Person sein, die letztendlich die Oyster 
Card nutzt. Die Oyster Card kann genauso 
gut via Apple Pay der Freundin oder der 
Kreditkarte der Oma oder eine anderen 
dritten Person aufgeladen werden. 

Immer wieder bin ich bei meinen 
Besuchen in London und bei meinen 
Recherchen zur Anonymität der Oyster 
Card auf Ratschläge gestoßen Bewe- 
gungsmuster zu verschleiern, indem 
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mehrere Oyster Cards genutzt werden 
oder indem sich mehrere Personen zu- 
sammenschließen, die sich dann jeweils 
gegenseitig ihre Oyster Cards aufladen. 

In der Datenschutzerklärung?’ des 
Transport for London (TfL) zur Oyster 
Card wird ausdrücklich darauf hinge- 
wiesen, dass die Privatheit der Reisen- 
den sehr ernst genommen wird, und TfL 
daher sehr strenge Richtlinien, Prozesse 
und technische Messmethoden für die 
Zugangskontrolle hat. Insbesondere 
auch für die Daten von Bezahl-Karten. 
Hier hält sich TfL strikt an den Payment 
Card Industry Data Security Standard 
(PCI-DSS). 

In der Datenschutzerklärung, aber 
auch an anderen Stellen der offiziellen 
Webseiten des TfL wird die anonyme 
Nutzung der Oyster Card als selbstver- 
ständlich hingenommen und lediglich 
faktisch darauf hingewiesen, dass bei 
Verlust der Karte das Guthaben sowie 
die Wochen- oder Monatskarten nicht 
erstattet werden können. 

Als Service bietet TfL seinen Kunden 
an die Karte zu registrieren, damit sie 
bei Verlust gesperrt und eventuell noch 
vorhandene Guthaben erstattet werden 
können. 

Weder innerhalb Londons vor Ortnoch 
auf den Webseiten der TfL konnten bei 
den Recherchen ein aufdringliches Wer- 
ben um eine Registrierung der Oyster 
Card festgestellt werden. 

Beim Thema Kindertickets ist London 
sehr kompliziert. Kinder unter elf fahren 
in Begleitung eines Erwachsenen fah- 
ren kostenlos. Reisen vier Kinder allein, 
dann kostet es einmal den Erwachsenen- 
preis. So oder so lassen sich Oyster Cards 
mit dem „Young Person Discount” aufla- 
den und es gibt auch Oyster Cards spezi- 
ell für Studierende. Alles anonym, also 
übertragbar und aufVertrauensbasis. 


Wie anonym ist die OV Chipkaart? 


Auch die OV Chipkaart lässt sich laut 
den Webseiten zur anonymen Nutzung 
der OV Chipkaart anonym nutzen.° Hier 
wird lediglich sachlich darauf hingewie- 
sen, dass eine anonym genutzte Karte 
übertragbar ist und bei Verlust nicht er- 
setzt werden kann. Ist die Karte wirklich 
anonym? Schon auf der Webseite wird 
darauf hingewiesen, dass es Kinder- oder 
Pendlerrabatte nur für personalisierte 


Karten gibt. Darüber hinaus wird auf der 
Seite darauf hingewiesen, unbedingt die 
Nummer der OV Chipkaart zu notieren, 
weil sie für Rückfragen benötigt wird. 
Inwieweit derartige Rückfragen anonym 
sind, wird nicht erläutert. 

Die OV Chipkaart lässt sich zwar an 
jedem NS Ticket Automaten aufladen, 
aber leider lassen viele Automaten nur 
noch bargeldlose Bezahlung zu. Wie da- 
mit umgegangen wird, geht aus der Da- 
tenschutzerklärung’ der Translink Sys- 
tems B.V., die hinter der OV Chipkaart 
steckt, nicht hervor. Die vollständige 
Datenschutzerklärung ist zwar sowohl 
in niederländischer als auch in engli- 
scher Sprache verfügbar, aber sie muss 
erst von der Privacy-Seite heruntergela- 
den werden. 

Es entsteht hier der Eindruck, als sei 
eine wirklich anonyme Nutzung der OV 
Chipkaart nicht gewünscht. 


Wie sieht das mit der Anonymität bei 
der MoBIB-Karte aus? 


Die MoBIB-Basic-Karte® ist nicht na- 
mensgebunden. Auf der offiziellen Web- 
seite zur MoBIB-Karte wird lediglich 
darauf hingewiesen, dass sie von meh- 
reren Personen genutzt werden kann. 
Ist sie aber wirklich anonym? 

Die MoBIB-Basic-Karte kann an den 
Verkaufsstellen der Transport En Com- 
mun (TEC) erworben werden. Eine Zah- 
lung mit Bargeld ist möglich. Darüber 
hinaus ist sie über die Maatschappij 
voor het Intercommunaal Vervoer te 
Brussel (MIVB) / Societ& de transports 
intercommunaux de Bruxelles (STIB) 
erhältlich. Die MIVB/STIB verkauft sie 
in Kiosken und sogenannten Bootiks. 
Auch hier sollte die Zahlung mit Bargeld 
problemlos möglich sein. 

Alle anderen Anbieter der MoBIB-Kar- 
te bieten die Karte nur personalisiert an. 

Was genau alles auf die Karte geladen 
werden kann, hängt vom Anbieter ab. 
Genau wie in den Niederlanden ist das 
Angebot begrenzt und es gibt diverse 
Ticket-Angebote, die nur mit persona- 
lisierten Karten genutzt werden dürfen. 


Wie sieht es mit dem Aufladen der 
Karte aus? 


Aufgeladen werden kann die Karte 
ebenfalls in den Verkaufsstellen, aber 
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auch an Automaten. Die Automaten in 
Brüssel lassen auch noch die Bezah- 
lung mit Bargeld zu, so dass die MoBIB- 
Basic-Karte wirklich anonym genutzt 
werden kann. 

Eine Firma namens BMC ist gemein- 
sam mit den vier Verkehrsbetrieben für 
die personenbezogenen Daten rund um 
die MoBIB-Karte verantwortlich. Die 
Datenschutzerklärung’ ist in den drei 
Landessprachen, sowie in Englisch vor- 
handen. Allerdings wird hier in keiner 
Sprache darauf eingegangen, was mit 
den Daten passiert, die bei der bargeld- 
losen Bezahlung anfallen. 


Transparenz 


Was genau passiert mit den personen- 
bezogenen Daten, die die Verkehrsbe- 
triebe erheben? Werden sie vertraulich 
behandelt? Wie transparent und gut ver- 
ständlich ist erklärt, was mit den Daten 
passiert? 

Artikel 12 DSGVO schreibt vor, dass die 
Informationen in präziser, transparen- 
ter, verständlicher und leicht zugängli- 
cher Form in einer klaren und einfachen 
Sprache sein müssen. 

Vorbildlich sind hier die Londoner. Die 
Datenschutzerklärung zur Oyster Card ist 
übersichtlich strukturiert und sehr gut 
verständlich geschrieben; kurze, klare 
Sätze mit möglichst einfachen Worten. 

Hier ist genau aufgelistet, welche 
personenbezogenen Daten anfallen und 
zwar so, dass der Karteninhaber sich 
hier zu seiner Person auch genau die 
Einzeldaten dahinter vorstellen kann. 
Es steht da zum Beispiel nicht einfach 
„Stammdaten“ sondern „Name, Adres- 
se, E-Mail-Adresse, Telefonnummer”. 
Dadurch, dass hier selbst an das Pass- 
wort, die Informationen bei bargeld- 
loser Bezahlung, Transaktionsdaten, 
Korrespondenz- und Serviceanfrage- 
Daten und einiges mehr gedacht wurde, 
erweckt die Liste den Eindruck, dass sie 
vollständig ist. 

Bei der entsprechend Art. 13 DSGVO 
anzugebenden Rechtsgrundlage steht 
nicht einfach nur ein Hinweis auf die 
DSGVO, sondern es wurde nicht-juris- 
tisch klar verständlich erklärt, warum 
die Informationen erhoben werden. 

un... Bei Oyster Card gibt es eine Reihe 
dieser „rechtlichen Gründe”, auf die wir 
uns stützen: 
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Unsere gesetzlichen und öffentlichen 
Funktionen: 

Um Aktivitäten zur Förderung sicherer, 
integrierter, effizienter und wirtschaftli- 
cher Verkehrsmöglichkeiten und -dienste 
sowie die Umsetzung der Verkehrsstrate- 
gie des Bürgermeisters durchzuführen 

Wo Sie TfL Ihre Zustimmung gegeben 
haben, zum Beispiel: 

Wenn Sie sich für den Empfang von 
Marketingnachrichten oder In-App-Be- 
nachrichtigungen von uns entschieden 
haben oder wenn Sie das Contact Center 
gebeten haben, ein Problem oder eine Be- 
schwerde für Sie zu lösen ...” 

Zitat aus der Datenschutzerklärung 
zur Oyster Card (eigene Übersetzung). 

Es wird ganz genau erklärt, wie TfL die 
personenbezogenen Daten erhält und 
wie sie verwendet werden. 

Wenn die Person keine personenbezo- 
genen Daten hinterlassen möchte, wird 
darauf hingewiesen, dass kein Online 
Account angelegt und bei Verlust der 
Karte das Guthaben nicht erstattet wer- 
den kann. Die Datenschutzerklärung 
weist ausserdem darauf hin, dass bei 
völliger Anonymität bestimmte Dienst- 
leistungen, wie die Lösung bestimmter 
Beschwerden und Bedenken nur verzö- 
gert oder gar nicht durchgeführt werden 
können. 

Die hier aufgelisteten Nachteile bei 
anonymer Nutzung sind alle logisch 
nachvollziehbar. Auch ein verloren ge- 
gangenes Papierticket wird in der Regel 
nicht ersetzt und Beschwerden, dass der 
Automat zu viele Münzen geschluckt 
oder zu wenig Wechselgeld herausgege- 
ben hat, können auch bei einem Papier- 
ticket nur schwer bis gar nicht nachvoll- 
zogen werden. 

Auch beim Thema Datenspeicherung 
ist TfL offen. Es wird detailliert aufge- 
listet, welche Daten wo und wie lange 
gespeichert werden. Teilweise ist sogar 
angegeben, warum die Daten aufgeho- 
ben werden. 

TfL hat auch eine verständlich ge- 
schriebene, allgemeine Beschreibung 
zu technischen und organisatorischen 
Maßnahmen mit in die Datenschutzer- 
klärung aufgenommen: 

„Wir nehmen die Privatsphäre unserer 
Kunden sehr ernst und es gibt eine Reihe 
zuverlässiger Richtlinien, Prozesse und 
technischer Maßnahmen, um den Zugriff 
auf und die Verwendung von persönli- 


chen Informationen im Zusammenhang 
mit Oyster-Daten zu kontrollieren und zu 
schützen. Das schließt Zahlungskarten- 
daten ein, die gemäß dem PCI-DSS (Pay- 
ment Card Industry Data Security Stan- 
dard) behandelt werden. 

Jeder, der Zugriff auf personenbezoge- 
ne Daten hat, die in den Systemen von TfL 
gespeichert sind, muss jährlich die Daten- 
schutz- und Datensicherheitschulungen 
von TfL absolvieren. 

Wir veröffentlichen auch Anleitungen zu 
den Schritten, die Sie zum Schutz Ihrer per- 
sönlichen Daten unternehmen können.“ 

Zitat aus der Datenschutzerklärung 
zur Oyster Card (eigene Übersetzung). 

Unter dem Punkt automatisierte Ent- 
scheidungsfindung und Profiling wird 
herausgestellt, dass die zu zahlenden 
Kosten bei Pay-As-You-Go-Fahrten au- 
tomatisch ermittelt werden. Es wird 
darauf hingewiesen, dass Reisen au- 
tomatisch anhand vorheriger Reisen 
vervollständigt werden, wenn die Karte 
nicht an beiden Enden der Fahrt gelesen 
wurde. Es wird automatisch Geld erstat- 
tet, wenn auf der Fahrt etwas Unvorher- 
gesehenes passiert ist und so weiter. 

Die Liste der automatischen Entschei- 
dungsfindungen ist sehr gut durch- 
dacht und erweckt den Eindruck, ziem- 
lich vollständig zu sein. 

TfL stellt auch präzise heraus, an wen 
die Daten für welche Zwecke weiterge- 
geben werden. Eine Weitergabe zu Wer- 
bezwecken wird nicht erwähnt. Der ge- 
samte Auftritt erweckt aber auch nicht 
den Eindruck, als würde TfL Daten zu 
Werbezwecken weiter vermarkten. 

Herausgestellt wird in der Daten- 
schutzerklärung jedoch, dass eine 
Weitergabe zu Forschungszwecken in- 
nerhalb Großbritanniens und den Ver- 
einigten Staaten stattfindet. Hier wird 
darauf hingewiesen, dass die Daten vor 
der Weitergabe pseudonymisiert werden 
und es bei den weitergegebenen Daten 
in keinem Fall möglich ist, Einzelperso- 
nen zu identifizieren. 

Auch die Rechte der Betroffenen sind 
in klar verständlicher Sprache beschrie- 
ben. Es gibt noch eine weitere Seite, die 
genau beschreibt, wie Betroffene Zu- 
gang zu ihren Daten erhalten. 

Zusammengefasst lässt sich sagen: 
TfL arbeitet sehr transparent. 

Dass ihnen der Schutz der Privatheit 
wichtig ist und sie in keinem Fall das 
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Vertrauen der Kunden verletzen möch- 
ten, ist hier klar erkennbar. 


Wie ist das mit der Transparenz bei 
der OV Chipkaart? 


Auf der Datenschutz-Seite der OV 
Chipkaart steht nicht sehr viel, aber es 
gibt einen Link zu einem PDF, das wei- 
tere Informationen enthält. 

Auch hier ist anfänglich eine klar ver- 
ständliche Sprache gewählt. Das PDF ist 
zwar in niederländischer und auch in 
englischer Sprache abrufbar, aber beim 
Lesen entsteht schnell der Eindruck, 
dass das Werk auf die Schnelle entstan- 
den ist, weil der Gesetzgeber es fordert. 

Es wird explizit herausgestellt, dass 
die Daten nicht zu Marketingzwecken 
genutzt werden. 

Die Gesellschaft verarbeitet den Na- 
men, die Adresse, ein Foto, das Ge- 
schlecht, das Geburtsdatum, Kontoda- 
ten, Username und E-Mail-Adresse. Auf- 
fällig ist, dass hier weder das Passwort 
für den Online-Account gelistet ist noch 
Informationen zu Kreditkarten, mit de- 
nen bezahlt wird. Auf der Karte selbst 
sollen dann neben der eindeutigen Kar- 
tennummer noch die letzten 10 Reisen, 
die erforderlichen Ticketinformationen 
sowie das Guthaben und noch einmal das 
Geburtsdatum gespeichert sein. 

Wofür wird das Geschlecht, das Ge- 
burtsdatum und die Telefonnummer 
benötigt? Wofür die Kontodaten? War- 
um wird die Adresse erhoben und wofür 
braucht die Gesellschaft ein Foto? 

Die Fragen werden in der Erklärung 
nicht beantwortet und auch die Rechts- 
grundlagen für die Erhebungen und Ver- 
arbeitungen sind nicht erläutert. 

Es wird herausgestellt, dass anonyme 
OV Chipkaarts völlig anonym sind. Da 
stellt sich spontan die Frage: „Und was 
ist mit Informationen zur Kreditkarte, 
mit der die Karte bezahlt bzw. aufgela- 
den wurde?” 

Sofort im Nachgang wird dann auch 
schon erläutert, dass auch für die an- 
onyme Karte personenbezogene Daten 
erhoben werden. Die Karte ist also nicht 
so anonym, wie sie beworben wird. Als 
Beispiel wird angeführt, dass bei der 
Auszahlung des Guthabens einer ab- 
gelaufenen Karte zwingend das Bank- 
konto benötigt wird, auf das das Geld 
überwiesen werden soll. Demnach ist 
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eine Barauszahlung nicht möglich. Wird 
eine Rückerstattung per Formular be- 
antragt, werden eine ganze Reihe von 
personenbezogenen Daten erhoben, für 
die wieder weder ein Grund noch eine 
Rechtsgrundlage angegeben ist. 

Beim telefonischen Kundenservice 
werden bei anonymen Karten nur die 
Fragen ohne Zuordnung zur Person fest- 
gehalten. Es sei denn, es bedarf weiterer 
Rücksprachen, für die dann eine Tele- 
fonnummer oder eine E-Mail-Adresse 
angegeben werden muss. So weit, so 
gut, aber direkt danach steht, dass Te- 
lefongespräche grundsätzlich aufge- 
zeichnet und drei Monate aufbewahrt 
werden. Das widerspricht eindeutig der 
vorherigen Aussage, dass der Kunden- 
service bei anonymen Karten lediglich 
die Fragen speichert. 


Zu Forschungszwecken werden 
personenbezogene Daten 
weitergegeben: 


„Die Öffentlichen Verkehrsunternehmen 
wollen sicherstellen, dass der öffentliche 
Verkehr so effizient und effektiv wie mög- 
lich ist. Aus diesem Grund haben sie ein In- 
teresse daran, Einblicke in die Reisemuster 
von Reisenden zu erhalten. Diese Erkennt- 
nis ist auch für Dritte wichtig, beispielswei- 
se für Regierungen, die die Aufgabe des 
(öffentlichen) Verkehrs haben und sich für 
die Verbesserung der Dienstleistungen für 
Reisende einsetzen.“ 

Und dann heisst es weiter: 

„Die öffentlichen Verkehrsunterneh- 
men haben gemeinsam entschieden, wel- 
che personenbezogenen Daten verwendet 
werden dürfen und wie die personenbezo- 
genen Daten verwendet werden dürfen. 
Wir bezeichnen das auch als Informati- 
onsmanagement. Die Vereinbarungen 
sind in einer Kooperationsvereinbarung 
zwischen den öffentlichen Verkehrsunter- 
nehmen festgelegt.” 

Zitat aus der Datenschutzerklärung zur 
0V Chipkaart (eigene Übersetzung). 

Welche Daten jetzt genau weitergeleitet 
werden, geht aus der Datenschutzerklä- 
rung nicht hervor. Auch bedenklich ist, 
dass die Verkehrsunternehmen hier selbst 
entschieden haben, welche Daten sie nut- 
zen dürfen, ohne detailliert zu erklären, 
warum sie das entscheiden dürfen. 

Weiter wird erklärt, dass doch nur die 
Reisedaten verwendet werden und kei- 


ne weiteren Daten zur Identifizierung 
von Einzelpersonen. 

In einem Nebensatz wird dann noch 
darauf hingewiesen, dass gegen die 
Verwendung der Reisedaten form- 
los per E-Mail widersprochen werden 
kann. 

Die Daten werden alle 18 Monate auf- 
bewahrt. Warum, wieso und weshalb 
wird nicht erläutert. 

Die Rechte der Betroffenen sind ein- 
fach nur aufgelistet und im Nachgang 
wird erklärt, dass für das Auskunfts- 
recht eine Pass- oder Ausweiskopie be- 
nötigt wird. 

Zusammengefasst ist die Daten- 
schutzerklärung zur OV Chipkaart an 
einigen Stellen widersprüchlich und 
nicht immer leicht verständlich ge- 
schrieben. Was mit Kreditkartendaten 
oder auch der Kopie des Passes pas- 
siert, ist überhaupt nicht erwähnt. 
Karten, die als anonym beworben 
werden, sind nicht anonym. Bemü- 
hungen hier wirklich das Vertrauen 
der Kunden zu stärken, konnten nicht 
erkannt werden. Kunden wissen auch 
nach Lesen des Dokumentes nur sehr 
wenig darüber, wie ihre Daten genau 
verarbeitet werden. 


Und die Transparenz bei MoBIB? 


Es gibt zum einen die vier Verkehrs- 
betriebe, die für den öffentlichen Ver- 
kehr in Brüssel zuständig sind. Darüber 
hinaus gibt es noch eine Aktiengesell- 
schaft namens BMC, die gemeinsam 
mit den vier Verkehrsbetrieben für die 
personenbezogenen Daten, die bei der 
MOBIB Karte verarbeitet werden, ver- 
antwortlich ist. 

In der Datenschutzerklärung wird 
anfangs sofort darauf hingewiesen, 
dass die Unternehmen die Daten un- 
tereinander austauschen und verar- 
beiten. Welche Art von Daten und zu 
welchem Zweck der Verarbeitung wird 
nicht weiter erläutert. BMC schließt im 
Nachsatz jegliche Haftung für die Da- 
tenschutzerklärung sowie die Haftung 
für den Umgang der Daten bei den Ver- 
kehrsbetrieben aus. 

Es ist verwirrend, dass sie nicht für 
ihre eigens erstellten Dokumente haf- 
ten. Auch dass sie im ersten Satz auf die 
gemeinsame Verantwortung hinweisen 
und zwei Sätze später sich jeglicher Haf- 
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tung entziehen möchten, erweckt nicht 
wirklich Vertrauen. 

Es gibt keine Verlinkung zu weiteren 
verpflichtenden Informationen entspre- 
chend Art. 13 DSGVO der anderen Ver- 
antwortlichen. 

„Außerdem kann BMC auch personen- 
bezogene Daten verarbeiten, die Sie BMC 
freiwillig zur Verfügung gestellt haben, 
wenn Sie sich an BMC oder den BMC-Da- 
tenschutzbeauftragten wenden.” Zitat 
aus der Datenschutzerklärung zur Mo- 
BIB-Karte. 

Es fehlt die Auflistung, welche Artvon 
personenbezogenen Daten verarbeitet 
werden. Die gesamte Datenerhebung 
soll auf Freiwilligkeit basieren, denn 
andere Rechtsgrundlagen sind anfangs 
nicht angegeben. Weiter unten im Do- 
kument wird dann aber doch noch das 
öffentliche Interesse als Rechtsgrundla- 
ge erwähnt. 

Es wird darauf aufmerksam gemacht, 
dass die Daten an Subunternehmen 
weitergegeben werden. Eine Liste der 
Subunternehmen ist nicht verlinkt. Es 
wird lediglich erläutert, dass es sich da- 
bei um IT-Support, Hosting, Unterstüt- 
zungsdienste sowie Anwendungsdiens- 
te zur Durchführung von Marketing und 
Datenanalyse handelt. 

„BMC hat alle notwendigen Maßnah- 
men ergriffen, um sicherzustellen, dass 
Ihre personenbezogenen Daten gemäß 
den Anforderungen der GDPR geschützt 
bleiben.“ Zitat aus der Datenschutzer- 
klärung zur MoBIB-Karte. 

Der Satz erweckt den Eindruck, dass 
sie nur die wirklich notwendigen Maß- 
nahmen ergriffen haben und nichts 
darüber Hinausgehende. Welche Maß- 
nahmen genau ergriffen wurden, wird 
allerdings nicht erläutert. 

„Sollte BMC Ihre personenbezogenen 
Daten an eine andere natürliche oder ju- 
ristische Person übermitteln, bittet BMC 
Sie um eine vorherige Genehmigung.“ 
Zitat aus der Datenschutzerklärung zur 
MoBIB-Karte. 

Da es keine Liste gibt, an wen die Da- 
ten weitergeleitet werden, ist hier die 
Frage, was bedeutet „andere Person”? 

„Benötigt BMC die personenbezogenen 
Daten nicht mehr für eine Verarbeitung, 
die eine längere Aufbewahrungsfrist 
erfordert (z. B. im Falle eines Rechts- 
streits), bewahrt BMC die oben genann- 
ten personenbezogenen Daten für die 
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Dauer der Gültigkeit der MoBIB-Karte 
verlängert um drei Jahre auf.“ Zitat aus 
der Datenschutzerklärung zur MoBIB- 
Karte. 

Die Gültigkeit der MoBIB-Karte be- 
trägt fünf Jahre. Das bedeutet, sämtli- 
che Daten werden mindestens acht Jah- 
re aufbewahrt. Eine Rechtsgrundlage 
dafür wird nicht genannt. 

„Ihre personenbezogenen Daten kön- 
nen außerhalb Belgiens übermittelt und 
verarbeitet werden. Genauer gesagt be- 
finden sich unsere Server in der Europä- 
ischen Union und einige unserer Dienst- 
leister sind weltweit tätig. 

BMC hat jedoch im Falle einer Über- 
mittlung personenbezogener Daten in 
Länder außerhalb der Europäischen 
Union die notwendigen Schutzmaßnah- 
men ergriffen, um sicherzustellen, dass 
Ihre personenbezogenen Daten in Über- 
einstimmung mit dieser Erklärung zum 
Schutz personenbezogener Daten und 
der DSGVO geschützt werden.“ Zitat aus 
der Datenschutzerklärung zur MoBIB- 
Karte. 

Wie schon erwähnt, fehlt die Liste, an 
wen die Daten weitergegeben werden. 
Es geht auch nicht hervor, für welche 
Zwecke genau die Daten in Drittländer 
übermittelt werden. Ausländische Un- 
ternehmen sollen die Daten in Überein- 
stimmung mit der Information, die für 
die Betroffenen bestimmt ist, schützen? 
Das klingt, als läge hier ein Missver- 
ständnis vor. 

Die Rechte der Betroffenen wurden 
alle aufgelistet und mit einem Satz er- 
klärt. Allerdings wurde zum Beispiel 
beim Widerspruchsrecht und auch beim 
Recht auf Löschung nicht genauer be- 
schrieben, bei welchen Verarbeitungs- 
schritten überhaupt widersprochen 
werden kann und welche Daten auf 
Grund von gesetzlich vorgeschriebenen 
Aufbewahrungsfristen nicht gelöscht 
werden können. 

Beim Recht auf Datenübertragbarkeit 
wurde aus dem im Gesetzestext stehen- 
den „maschinenlesbar” das Wort „les- 
bar“, was zur Verwirrung vorhandener 
Schnittstellen führen dürfte. 

Auf automatische Entscheidungsfin- 
dungen und Profiling wird gar nicht ein- 
gegangen. 

Zusammengefasst lässt sich sagen, 
dass eine wirkliche Transparenz bei der 
MoBIB-Karte nicht gegeben ist. 


Datenspeicherung 


Oyster Card beschreibt sehr genau, 
welche Daten wie lange aufbewahrt wer- 
den. So werden zum Beispiel die reinen 
Bewegungsdaten für acht Wochen kar- 
tengebunden gespeichert. Die Frist von 
acht Wochen wird als angemessen ange- 
sehen, damit Kunden ihre Reisen über- 
prüfen oder Anfragen stellen können 
(z.B. zu Rückerstattungszwecken). 
Nach acht Wochen werden die Daten von 
der Karte getrennt. 

Informationen zu Kredit- und andere 
Zahlungskarten werden 18 Monate auf- 
bewahrt. 

Bei der OV Chipkaart werden alle Da- 
ten 18 Monate aufbewahrt. Hier wird 
nicht zwischen unterschiedlichen Da- 
tenkategorien unterschieden und es 
werden auch keine weiteren Gründe für 
die Aufbewahrung angegeben. 

Bei der MOBIB Karte werden alle Da- 
ten mindestens acht Jahre gespeichert. 
Auch hier gibt es keinerlei Transparenz. 
Es wird dem Betroffenen weder eine Be- 
gründung noch eine Rechtsgrundlage 
für die lange Speicherung in der Daten- 
schutzerklärung mitgeteilt. 


Freiwilligkeit 


TfL bietet keine Preisrabatte für re- 
gistrierte Karten. Die Registrierung der 
Oyster Card ist freiwillig. Der Vorteil ist, 
dass Karten bei Verlust gesperrt und 
Guthaben erstattet werden können. 

Anders ist es bei der 0V Chipkaart 
und der MoBIB-Karte. Rabatte werden 
nur für registrierte Karten gewährt. 
Dadurch ist die Freiwilligkeit der Re- 
gistrierung natürlich auch nicht mehr 
wirklich freiwillig. 

Auch in London gibt es zum Beispiel 
Ermäßigungen für Kinder und Jugend- 
liche. London hat hier sogar ziemlich 
komplizierte Regelungen. Dennoch 
muss niemand eine Oyster Card für Kin- 
der und Jugendliche registrieren. Es 
wird hier darauf vertraut, dass die Per- 
son, die derartige Tarife nutzen möchte, 
auch berechtigt ist, sie zu nutzen. 

Das ist nicht anders als bei einem Pa- 
pierticket für Kinder in Deutschland. 
Auch da ist es nicht erforderlich, Iden- 
tifizierungsmerkmale des Kindes vor der 
Nutzung auf das Ticket des Kindes zu 
schreiben. 
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Sowohl in den Niederlanden als auch 
in Brüssel sind die Karten für Minder- 
jährigen-Tarife zu registrieren. 

Monats- und Wochenkarten dürfen 
in den Niederlanden und in Brüssel 
nur mit registrierten Karten genutzt 
werden. Verglichen mit den deutschen 
Papiertickets kommt es in Deutschland 
auf den Verkehrsbetrieb an. Während 
in Berlin Monats-Karten übertragbar 
und anonym sind, gibt es in NRW viele 
Städte, in denen Monatsticket zwangs- 
weise personalisiert und nicht über- 
tragbar sind. 

In London sind derartige Tarife, die auf 
die Oyster Card geladen werden können, 
selbstverständlich jeweils von der Person 
nutzbar, die die Karte bei sich führt. 

Das Problem der zwangsweise per- 
sonalisierten Nutzung sind also die 
Tickettarife. Dass in Deutschland die 
Tickets für den öffentlichen Nahver- 
kehr möglichst nicht personalisiert sein 
sollten, wird in NRW bereits seit einigen 
Jahren im diskutiert. 


Vertraulichkeit 


Während die Londoner Verkehrsbe- 
triebe TfL sehr viel Wert darauf legen, 
dass die Kunden ihnen vertrauen, erwe- 
cken die Niederländer und die Brüssler 
Verkehrsbetriebe eher den Eindruck, als 
läge ihnen nicht viel an der Gewinnung 
des Vertrauens ihrer Kunden. 

TfL macht viel, um dem Kunden zu 
vermitteln, dass nur die wirklich erfor- 
derlichen Informationen erhoben und 
verarbeitet werden und die Daten bei 
ihnen wirklich sicher sind und sehr ver- 
traulich behandelt werden. 


Datenschutz 
Nachrichten 


Bei der Translink Gesellschaft, die für 
die OV Chipkaart verantwortlich ist, ent- 
steht beim Lesen der Datenschutzerklä- 
rung der Eindruck, dass sie kein wirkli- 
ches Interesse daran hat die Betroffenen 
transparent zu informieren. Aussagen 
sind widersprüchlich, es wird mit Anony- 
mität geworben, die aber bei genauerem 
Hinsehen nicht gewährleistet wird. 

Bei der MoBIB-Karte ist keine wirk- 
liche Transparenz erkennbar. Der Wirr- 
warr mit den vier Verkehrsbetrieben 
plus einer Aktiengesellschaft macht es 
für Betroffene noch schwieriger das Ge- 
fühl zu bekommen, dass die geforderten 
personenbezogenen Daten wirklich ver- 
traulich behandelt werden. 


Fazit 


Keine Papiertickets mehr im öffentli- 
chen Nahverkehr ist eine schöne Idee. 
Der Londoner Vorreiter, die Oyster Card, 
gibt viel, damit die dabei anfallenden, 
personenbezogenen Daten bei ihnen 
sicher sind und streng vertraulich be- 
handelt werden. Eine Registrierung der 
Karte ist freiwillig und hat den Vorteil, 
dass sie bei Verlust gesperrt und Gutha- 
ben ersetzt werden kann. Sämtliche Ta- 
rife sind nicht personalisiert und damit 
übertragbar nutzbar. 

Die OV Chipaart aus den Niederlan- 
den wie auch die MoBIB-Karte sammeln 
eine Reihe von Informationen ohne die 
Betroffenen genau über die Gründe und 
Rechtsgrundlagen dafür aufzuklären. 
Es entsteht der Eindruck, als sei Da- 
tenschutz für sie eher eine Last als ein 
Gewinn des Vertrauens der Kunden. In 
beiden Systemen gibt es eine Vielzahl 
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von Tarifen, die nur personengebunden 
verkauft werden. Selbst Kindertarife 
sind nur personalisiert erhältlich. 
Deutsche Verkehrsbetriebe, die über 
die Einführung eines ähnlichen Systems 
nachdenken, sind gut beraten, nicht die 
Niederlande oder Brüssel als Vorbild zu 
nehmen, sondern sich an den Londonern 
zu orientieren. Natürlich gibt es auch 
bei den Londonern noch Verbesserungs- 
potential. Aber das wäre ja ein guter 
Ansporn für die Deutschen Verkehrsbe- 
triebe, genau an den Stellen die Verbes- 
serungen gleich mit zu berücksichtigen. 


1 Offizielle Webseite des Transport for Lon- 
don: https://oyster.tfl.gov.uk/oyster/ 
entry.do 


2 BBC News Artikel vom 1. Juli 2013: 
https://www.bbc.com/news/uk- 
england-london-23120759 


3 Artikel der OVin Nederland Communi- 
ty zur Erläuterung der OV Chipkaart: 
https://wiki.ovinnederland.nl/wiki/OV- 
chipkaart 


4 Offizielle Webseite der MoBIB-Karte 
(viersprachig) https://mobib.be 


5 Datenschutzerklärung des Transport for 
London zur Oyster Card https://tfl.gov. 
uk/corporate/privacy-and-cookies/ 
oyster-card 


6 Anonyme Nutzung der OV Chipkaart 
https://www.ov-chipkaart.nl/purchase- 
an-ov-chipkaart/anonymous-ov- 
chipkaart.htm 


7 Datenschutz-Seite der OV Chipkaart 
https://www.ov-chipkaart.nl/privacy.htm 


8 Offizielle Webseite zur MoBIB-Karte 
https://mobib.be/de.html 


9 Datenschutzerklärung zur MoBIB-Karte 
in deutsch https://mobib.be/privacy_ 
DE.html 


online zu bestellen unter: www.datenschutzverein.de/dana 
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Data protection in Kenya and how it affects e-payments 


Introduction 


In daily interactions, people give out 
alot oftheir personal data knowingly or 
unknowingly. Take the example of apps 
on play store. Before you install it, itis 
a precondition to allow it access to your 
personal information e.g. contacts, sms, 
storage and more... . Usually, you have 
to accept the terms and conditions be- 
fore you can accessthe app. Most people 
do not read the details but are quick to 
accept whatever terms and conditions 
offered. 

Many times after downloading an app, 
you have no control of what it will use 
your data for. Under most of the terms 
and conditions, consent is given to the 
app to do many things with your data, 
including third party sharing. 

A lot of personal data is given out du- 
ring online activities. Third parties are 
able to access this information and use 
personal data for various purposes like 
marketing. Digitalisation has enhanced 
data exchange. Before accessing most 
services you are required to give out 
your personal data. This is where the 
problem starts... 

Afew months ago Kenya passed a data 
protection law whose foundation is the 
right to privacy. Article 31 ofthe Cons- 
titution gives citizens some level of data 
privacyin communications. 


The Data Protection Act 


The Data Protection Act, however, co- 
mes in to provide a legal framework on 
personal data usage, especially on di- 
gital platforms. In 2018, the European 
Union passed the General Data Protec- 
tion Regulations (GDPR) andthe Kenyan 
data protection law is said to be GDPR 
compliant. 

There are alot of provisions in the law, 
which are important to read ahead of 
enforcing the law. The data protection 
laws will bring about several changes in 
the business environment. One is that 
almost all businesses will have to put in 
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place structures and operations to ensu- 
re compliance. 

Most businesses handle data. For 
example, when a client procures your 
services, you usually have a client data- 
base containing information about the 
client. Therefore, this law will be appli- 
cable to businesses that either control 
or process data like Safaricom. 

As long as you are in direct control of 
another person’s data then the law ap- 
plies to you. 

The law sets out several requirements 
that must be putin place when handling 
another’s personal data and this inclu- 
des processing and profiling. The data 
must be handled lawfully, accurately 
and the data subject’s consent must be 
given before itis shared to third parties. 
In the case of a business, when a client 
gives you personal information, then 
you have an obligation to honour the 
law’s provisions when interacting with 
that data. 

For example, you cannot disclose 
their information to others without 
seeking consent. Structurally, the law 
requires controllers and processors to 
nominate data protection officers who- 
se main duty is to ensure compliance 
with the law. This is especially so for 
businesses that are requlated and li- 
censed bythe government, for example 
banks. 

Data sourced from Kenya is now sa- 
feguarded. This is crucial, especially in 
the wake of the Cambridge Analytica 
data scandal and the influence of the 
2017 Kenyan elections. 

There is a state agency that will deal 
with enforcement and overseeing pro- 
tection in Kenya. 

The impact of this law will take some 
time to be realised but it is prudent to 
prepare in advance. 


The role ofthe central bank of Kenya 
The Central Bank of Kenya (CBK) issu- 


ed a guideline on cybersecurity for Pay- 
ment Service Providers (PSPs). 


The Guideline 

Requires PSPs to maintain a cyberse- 
curity programme with specified mini- 
mum standards designed to mitigate cy- 
ber risk in the payment system in Kenya 
and places the ultimate responsibility 
for compliance with this requirement 
on the board of directors and senior ma- 
nagement of PSPs. This requirement is 
one of those additional responsibilities 
not set outin the earlier Guidance Note 
on Cybersecurity for commercial banks. 


The highlights of the specified mi- 
nimum standards PSPs are now requi- 
red to maintain to mitigate cyber risk 
in the payment system are as follows: 


Governance structure 

The Guideline has set out the va- 
rious roles to be carried out by the 
board of directors and senior manage- 
ment of a PSP including, amongst 
others: overseeing the cultivation and 
promotion of an ethical governance, 
management culture and awareness - 
setting “the right tone from the top” 
and implementing the board-appro- 
ved cybersecurity strategy, policy and 
framework, respectively. 

All PSPs are required to have a Chief 
Information Security Office (CISO). 
The roles of the CISO include amongst 
others: developing and implementing 
the PSP’s cybersecurity programme 
and enforcing the cybersecurity poli- 
cy; and periodically reporting on the 
organisation’s cybersecurity posture to 
senior management, board of directors 
and audit committee. 

A PSP is limited to outsourcing only 
the operational security functions of 
the CISO, such as information security 
monitoring, testing and threat intelli- 
gence, and will be required to seek the 
prior approval of CBK. 


Cybersecurity strategy, frameworks 

and policies 

Each PSP shall implement and main- 
tain a written policy or policies for the 


159 


protection of its information systems 
and confidential information stored on 
those information systems. 

The policy should address key cyber- 
security issues including: information 
security; data governance and classifi- 
cation; business continuity and disaster 
recovery planning; resources, systems 
and network security; customer data 
privacy; vendor and third party service 
provider management; risk assessment 
and incident response. 


Risk management 

Each PSP shall conduct a periodic risk 
assessment ofthe PSP's information sys- 
tems sufficient to inform the design of 
the cybersecurity programme as required 
under the Guideline, including the iden- 
tification ofcritical cyber assets and revi- 
sion of controls to respond to technolo- 
gical developments and evolving threats. 


Outsourcing 

PSPs are required to ensure that their 
third party service providers i.e. cloud 
service providers comply with legal and 
regulatory frameworks as well as inter- 
national best practices. 

The relationship should be governed 
by aan outsourcing agreement in the na- 


ture of a clearly written contract, the 
nature and detail of which should be 
appropriate to the materiality of the 
outsourced activity in relation to the 
ongoing business ofthe PSP. 

PSPs are required to notify CBK ofthe 
intention to outsource functions, servi- 
ces and infrastructures at least 30 days 
before such outsourcing agreements are 
executed. 


Regular independent assessment 

and testing 

PSPs are also required to carry out 
regular independent assessment and 
audit. To achieve this, the Guideline re- 
quires PSPs to incorporate qualified in- 
formation and communication techno- 
logy (ICT) auditors within their internal 
auditteam. 


Effect on E-Payments in Kenya 


Privacy laws are more relevant today 
than ever before. With data crossing bor- 
ders following the increased internet pe- 
netration andincreased use ofsocialmedia 
and other digital information platforms, it 
isbecoming more importantto ensurethat 
personal data is protected, processed and 
used for the correct purpose. 


Deutsche Übersetzung (durch die Redaktion) 


Datenschutz in Kenia und wie er sich auf E-Payment 


auswirkt 


Einleitung 


Menschen geben im täglichen Leben 
viele ihrer persönlichen Daten wissent- 
lich oder unwissentlich weiter. 

Zum Beispiel ist es bei der Installati- 
on bestimmter Apps aus dem Play Store 
zwingend erforderlich den Zugriff auf 
persönliche Daten wie Kontakte, SMS, 
Speicher usw. zu erlauben. Auch ist 
zwingend erforderlich die Kenntnis über 
die Allgemeinen Geschäftsbedingungen 
zu bestätigen. Die meisten Menschen 
klicken und damit akzeptieren die Be- 
dingungen schnell ohne sie genau zu 
lesen. 

Ist die App erst einmal heruntergela- 
den, haben die Nutzer keine Kontrolle, 
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wofür ihre Daten verwendet werden. In 
vielen Fällen wird der App die Zustim- 
mung erteilt, viele Dinge mit den Daten 
anzustellen, einschließlich der Weiter- 
gabe an Dritte. 

Bei Online-Aktivitäten werden viele 
personenbezogene Daten weitergege- 
ben. Dritte können darauf zugreifen 
und die personenbezogenen Informati- 
onen für verschiedene Zwecke wie Mar- 
keting nutzen. Die Digitalisierung hat 
den Datenaustausch verstärkt. 

Bevor Nutzer auf die meisten Dienste 
zugreifen können, müssen sie ihre per- 
sönlichen Daten zur Verfügung stellen. 
Und genau das ist das Problem ... 

Kenia hat vor einigen Monaten ein Da- 
tenschutzgesetz verabschiedet, dessen 


Kenya has seen a steady rise in mobile 
banking and e-wallets in the last 10 ye- 
ars and that has come at a cost of data 
protection. 

June last year, two Safaricom Em- 
ployees were charged for trying to sell 
customer data from the company da- 
tabase to buyers on the black market. 
The end user was not protected by Law 
in that case, but currently a safaricom 
customer has the power to sue Sa- 
faricom. 

It’s very common in Kenya to get a 
random SMS from a betting company or 
any other marketing company and you 
wonder how they got your number. This 
is the pain that has been existing with 
customer data in Kenya, we hope this 
new law will protect the consumer. 

We have seen a rise in loan lending 
apps that mine data from your pho- 
nes and sell to the highest bidder. 
Payment apps and the likes will now 
have to comply with the new data laws 
which will see the common user more 
protected 

This law will highly impact e-pay- 
ments in a very positive way, now the 
public will do transactions more confi- 
dently knowing there is a law protec- 
ting them. 


Grundlage das Recht auf Privatsphäre 
ist. Artikel 31 der Verfassung gibt den 
Bürgern ein gewisses Maß an Daten- 
schutz in der Kommunikation. 


Das Datenschutzgesetz 


Das Datenschutzgesetz bietet einen 
rechtlichen Rahmen für die Nutzung 
personenbezogene Daten, insbesondere 
auf digitalen Plattformen. 2018 hat die 
Europäische Union die Datenschutz- 
Grundverordnung (DSGVO) verabschie- 
det und das kenianische Datenschutz- 
gesetz soll konform dazu sein. 

Es gibt viele Bestimmungen im Gesetz, 
die vor der Durchsetzung des Gesetzes 
vorausschauend zu lesen sind. Die Da- 
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tenschutzgesetze werden verschiedene 
Änderungen im Geschäftsumfeld mit 
sich bringen, so dass fast alle Unter- 
nehmen Strukturen und Maßnahmen 
einrichten müssen, um den Compliance- 
Anforderungen gerecht zu werden. 

Die meisten Unternehmen verarbei- 
ten Daten. Beispielsweise wird für die 
Erbringung von Dienstleistungen eine 
Kunden-Datenbank geführt, die Infor- 
mationen über die Kunden enthält. Hier 
greift das Gesetz. Es gilt für Unterneh- 
men, die wie Safaricom Daten kontrol- 
lieren und verarbeiten. 

Sofern eine direkte Kontrolle über 
Informationen zu anderen Personen be- 
steht, greift das Gesetz. 

Das Gesetz legt mehrere Anforde- 
rungen fest, die beim Umgang mit 
personenbezogenen Daten erfüllt sein 
müssen. Dazu gehört neben der Verar- 
beitung auch die Profilerstellung. Die 
Daten müssen rechtmäßig und akkurat 
verarbeitet werden und die Weitergabe 
an Dritte bedarf der Zustimmung. Unter- 
nehmen haben die Pflicht, die Gesetze 
und Bestimmungen einzuhalten, wenn 
sie von den Kunden personenbezogene 
Daten erhalten, mit denen sie Interakti- 
onen durchführen. Beispielsweise kön- 
nen sie die Informationen nicht ohne 
Zustimmung an andere weitergeben. 

Strukturell schreibt das Gesetz vor, 
dass für die Verarbeitung Verantwort- 
liche und Verarbeitende Datenschutz- 
beauftragte benennen müssen, deren 
Hauptaufgabe es ist, die Einhaltung des 
Gesetzes sicherzustellen. Das gilt insbe- 
sondere für Unternehmen, die von der 
Regierung reguliert und lizenziert wer- 
den, wie zum Beispiel Banken. 

Daten aus Kenia sind jetzt geschützt. 
Das ist besonders nach dem Datenskan- 
dalvon Cambridge Analytica und dessen 
Einfluss auf die Wahlen in Kenia im Jahr 
2017 wichtig. 

Es gibt eine staatliche Behörde, die 
sich mit der Durchsetzung und Überwa- 
chung des Schutzes in Kenia befassen 
wird. Es wird einige Zeit dauern, bis die 
Auswirkungen dieses Gesetzes erkannt 
werden. Es ist jedoch ratsam, sich im 
Voraus vorzubereiten. 


Die Rolle der Zentralbank von Kenia 


Die Zentralbank von Kenia (CBK) hat 
eine Richtlinie zur Cybersicherheit für 
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Zahlungsdienstleister - englisch: Pay- 
ment Service Provider (PSPs) - heraus- 
gegeben. 


Die Richtlinie 

Die Richtlinie erfordert, dass PSPs ein 
Cybersicherheitsprogramm mit festge- 
legten Mindeststandards entwickeln 
und aufrechterhalten, um das Cyber- 
Risiko im Zahlungsverkehr in Kenia 
einzudämmen sowie die ultimative Ver- 
antwortung für die Einhaltung der An- 
forderungen in der Geschäftsleitung der 
PSPs zu positionieren. Die Anforderung 
ist eine der zusätzlichen Verantwort- 
lichkeiten, die im früheren Leitfaden 
der Cybersicherheit für Banken nicht 
vorkam. 


Nachfolgend die wichtigsten ein- 
zuhaltenden Anforderungen in den 
Mindeststandards für PSPs, um das 
Cyber-Risiko im Zahlungssystem zu 
verringern: 


Führungsstruktur 

In der Richtlinie sind die verschie- 
denen Aufgaben der Geschäftsführung 
und der leitenden Angestellten von 
PSPs festgelegt; unter anderem: Die Ein- 
führung und Förderung einer moralisch 
einwandfreien Führungs- und Verwal- 
tungskultur sowie die Sorgfaltspflicht 
- vorbildliches Verhalten der höchsten 
Ebenen beziehungsweise die Förderung 
der Umsetzung der von der Geschäfts- 
führung genehmigter Cybersecurity- 
Strategien, -Richtlinien und -Rahmen- 
bedingungen. 

Alle PSPs müssen über einen Chief 
Information Security Officer (CISO) 
verfügen. Die Rollen des CISO besteht 
anderem aus der Entwicklung und Um- 
setzung des Cybersecurity-Programms 
des PSP sowie der Durchsetzung der 
Cybersecurity-Richtlinien und der re- 
gelmäßigen Berichterstattung über die 
Cybersicherheit im Unternehmen ge- 
genüber der oberen Verwaltungsebene, 
der Geschäftsführung und dem Audit- 
Komitee. 

Ein PSP darf nur die operationelle 
Sicherheitsfunktionen des CISO aus- 
lagern, wie zum Beispiel die Überwa- 
chung, das Überprüfen und nachrich- 
tendienstliche Analysen. Dafür ist je- 
doch eine Genehmigung der CBK erfor- 
derlich. 


Cybersecurity-Strategie, Rahmen- 

bedingungen und Richtlinien 

Jeder PSP muss eine oder mehrere 
Richtlinien zum Schutz seiner Informa- 
tionssysteme sowie vertraulicher Infor- 
mationen, die in seinen Systemen ge- 
speichert werden, festlegen. Die Richt- 
linie sollte sich mit wichtigen Fragen 
der Cybersicherheit befassen. Unter an- 
derem: Informationssicherheit, Daten- 
führung und Klassifizierung, Geschäfts- 
fortführung und Disaster-Recovery-Pla- 
nung sowie Ressourcen-, System- und 
Netzwerksicherheit, Kundendaten- 
schutz, Lieferanten- und Dienstleister- 
Verwaltung, Risikobewertung und die 
Reaktion auf Vorfälle. 


Risikoverwaltung 

Jeder PSP führt regelmäßig eine Risi- 
kobewertung seiner Informationssyste- 
me durch, die darauf ausgelegt ist, die 
Verantwortlichen für die Gestaltung des 
Cybersecurity-Programms gemäß der 
Richtlinien zu informieren, einschließ- 
lich der Identifizierung kritischer Cy- 
ber-Aktivitäten und der Revision der 
Kontrollen von technologischen Ent- 
wicklung und sich daraus entfaltenden 
Bedrohungen. 


Outsourcing 

PSPs müssen sicherstellen, dass ihre 
Dienstleister - wie Cloud-Dienstanbieter 
- die gesetzlichen und regulatorischen 
Rahmenbedingungen sowie internatio- 
nale Best-Practice-Lösungen einhalten. 

Die Beziehung sollte durch eine Out- 
sourcing-Vereinbarung in der Art eines 
schriftlichen Vertrages klar geregelt 
sein, der Art und Einzelheiten der aus- 
gelagerten Tätigkeit in Beziehung zum 
PSP genau beschreibt. 

PSPs müssen mind. 30 Tage vor Ab- 
schluss der Outsourcing-Vereinbarung 
die CBK über die Absicht informieren, 
Funktionen, Dienste und Dienstleistun- 
gen auszulagern. 


Regelmäßige unabhängige Bewer- 

tung und Überprüfung 

PSPs müssen außerdem regelmäßig 
unabhängige Bewertungen und Audits 
durchführen. Die Richtlinie gibt vor, 
dass sie hierfür für Informations- und 
Kommunikationstechnologien qualifi- 
zierte Auditoren in ihrem internen Re- 
visionsteam einsetzen müssen. 
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Auswirkungen auf E-Payment in 
Kenia 


Datenschutzgesetze sind heute rele- 
vanter als je zuvor. Mit grenzüberschrei- 
tenden Daten durch die immer weitere 
Verbreitung des Internets und die ver- 
stärkte Nutzung sozialer Medien sowie 
anderer digitaler Informations-Plattfor- 
men wird es immer wichtiger sicherzu- 
stellen, dass personenbezogene Daten 
geschützt und nur zweckgebunden ver- 
arbeitetet werden. 

Kenia hatin den letzten zehn Jahren ei- 
nen stetigen Anstieg von Mobile Banking 


Maike Grahneis 


und E-Wallets verzeichnet, nicht immer 
war alles dabei datenschutzkonform. 

Im Juniletzten Jahres wurden zwei Sa- 
faricom-Mitarbeiter angeklagt, weil sie 
versucht hatten, Kundendaten auf dem 
Schwarzmarkt zu verkaufen. Der End- 
kunde warin diesem Fall gesetzlich nicht 
geschützt. Aber jetzt hätte ein Kunde die 
Macht, Safaricom zu verklagen. 

In Kenia ist es üblich, zufällige Werbe- 
SMS von Wett-Büros und jeder anderen 
Vermarktungsgesellschaft zu erhalten. 
Der Empfänger fragt sich, woher sie die 
Nummer kennen. Das ist ein Grundpro- 
blem im Umgang mit Kundendaten in 


Kenia. Es bleibt zu hoffen, dass das neue 
Gesetz den Verbraucher zukünftig bes- 
ser schützt. 

Es wurde ein erhöhter Anstieg von 
Kreditvergabe Apps festgestellt, die Han- 
dydaten abgreifen und höchstbietend 
verkaufen. E-Payment-Apps und der- 
gleichen müssen nun die neuen Daten- 
schutzgesetze einhalten. Dadurch wird 
der normale Nutzer besser geschützt. 

Das Gesetz wird sich für die Nutzer 
sehr positiv auf E-Payments auswirken. 
Mit dem Wissen, dass es ein schützendes 
Gesetz gibt, können Transaktionen ver- 
traulicher durchgeführt werden. 


Erhebung von Kontaktdaten - Infektionsschutz und 
Datenschutz (Redaktionsschluss 31.07.2020) 


Auf Grundlage gemeinsamer Be- 
schlüsse haben Bund und Länder suk- 
zessive die Lockerung der pandemiebe- 
dingten Einschränkungen vereinbart." 
Aber Bundeskanzlerin Merkel erklärte 
nach den Bund-Länder-Gesprächen 
am 17. Juni 2020: „Solange es kein Me- 
dikament und keinen Impfstoff gibt, 
müssen wir mit der Pandemie leben“. 
Die Bundeskanzlerin und die Regie- 
rungschefinnen? und Regierungschefs 
der Länder verständigten sich darauf, 
dass Maßnahmen wie der Mindestab- 
stand von 1,5 Meter, das Tragen eines 
Mund-Nasen-Schutzes in bestimmten 
öffentlichen Bereichen, verstärkte Hy- 
gienemaßnahmen und das Instrument 
der Kontaktbeschränkungen weiterhin 
gelten.’ 

Zur Eindämmung des Coronavirus 
SARS-CoV-2 ist die Durchbrechung von 
Infektionsketten ein wichtiger Bau- 
stein. Auch aus den Bund-Länder-Ge- 
sprächen heißt es, dass dieschnelleund 
vollständige Kontaktnachverfolgung 
elementarer Bestandteil der gemeinsa- 
men Öffnungsstrategie der Länder sei. 
Je effizienter sie funktioniere, desto 
schneller und wirksamer könne auf ein 
auftretendes Ausbruchsgeschehen re- 
agiert werden. * 
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Inwieweit die Erfassung von Kon- 
taktdaten datenschutzrechtlich er- 
laubt/verpflichtend ist, richtet sich 
nach den vorherrschenden rechtli- 
chen Bestimmungen. Es gilt die je- 
weiligen zu beachtenden regionalen 
bzw. lokalen Maßnahmen fortwäh- 
rend im Blick zu behalten: 

Informationen zu den geltenden Re- 
gelungen der Bundesländer sind auf 
den jeweiligen Internetseiten der Lan- 
desregierungen zu finden - lokale Maß- 
nahmen sind hingegen auf den Inter- 
netseiten von Gemeinden bzw. Städten 
einzusehen.” Die Website „LexCorona” 
bietet eine gute Orientierung über die in 
Deutschland im Zusammenhang mit der 
Corona-Krise erlassenen Rechtsakte.° 


Kontaktdaten zur Nachverfolgbarkeit 
von Infektionsketten 


Seit ein paar Monaten sind Betriebs- 
inhaber in bestimmten Branchen bzw. 
Einrichtungen verpflichtet, Namen und 
Kontaktdaten ihrer Gäste zur behörd- 
lichen Nachverfolgbarkeit von Infekti- 
onsketten zu erheben, z.B. wenn diese 
die Einrichtungen/ Geschäftsräume 
betreten oder an Veranstaltungen teil- 
nehmen. 


Im Hinblick auf die Pflicht und kon- 
krete Ausgestaltung der Kontaktda- 
tenerfassung ist dringend anzuraten, 
die jeweiligen regionalen und lokalen 
Bestimmungen in den Blick zu nehmen 
und fortwährend zu verfolgen. 

Eine solche Pflicht zur Erfassung 
und Speicherung der Kontaktdaten an- 
wesender Personen kann sich z.B. für 
Betriebsinhaber in Hamburg aufgrund 
der Hamburgischen SARS-CoV-2-Ein- 
dämmungsverordnung (nachfolgend 
„HmbSARS-CoV-2-EindämmungsV0”)’ 
ergeben. Aus der HmbSARS-CoV-2-Ein- 
dämmungsVO werden Bereiche wie 


« Veranstaltungen 

« Friseursalons 

« Dienstleistungsbetriebe der Körper- 
pflege 

« Gaststätten und ähnliche Einrich- 
tungen 

° Übernachtungsangebote 

« Freizeiteinrichtungen 

« Theater, Opern, Konzerthäuser, 
Musiktheater, Kinos, Planetarien 

« Bildungseinrichtungen und -angebote 

« Sportanlagen und Sportbetrieb 

« Schwimmbäder 

+ Spielbanken, Spielhallen, Wettver- 
mittlungsstellen 


DANA ® Datenschutz Nachrichten 3/2020 


« Trägerinnen und Träger der Jugend- 
hilfe 

« Krankenhäuser, Vorsorge- und Reha- 
bilitationseinrichtungen u.ä. 

« Einrichtungen der Eingliederungshilfe 

« Seniorentreffpunkte und -gruppen? 


verpflichtet. 


Um weitere Beispiele der Bundeslän- 
der zu nennen: In Niedersachsen fußt 
eine Kontaktdatenerfassung landes- 
rechtlich aufder geltenden „Niedersäch- 
sischen Verordnung zur Neuordnung 
der Maßnahmen gegen die Ausbreitung 
des Corona-Virus SARS-CoV-2 (Nieder- 
sächsische Corona-Verordnung)” und 
z.B. in Nordrhein-Westfalen auf der 
geltenden „Verordnung zum Schutz vor 
Neuinfizierungen mit dem Coronavirus 
SARS-CoV-2 (Coronaschutzverordnung 
- CoronaSchVO NRW)”.'° Die weiteren 
Bundesländer haben ihrerseits Regelun- 
gen getroffen. Ggf. bestehen zudem lo- 
kale Rechtsakte, die es zu beachten gilt. 


Datenschutzrechtliche Rahmenbe- 
dingungen am Beispiel Hamburgs 


Im Fall der HmbSARS-CoV-2-Eindäm- 
mungsVO'' sind Kontaktdaten unter An- 
gabe des Datums und der Uhrzeit der Ein- 
tragung in Textform zu erfassen und vier 
Wochen aufzubewahren.'? In der Han- 
sestadt sind unter den Kontaktdaten im 
Einzelnen der Name, die Wohnanschrift 
und eine Telefonnummer zu verstehen, 
vgl.8 7 Abs. 1Nr. 1 HmbSARS-CoV-2-Ein- 
dämmungsVO. Nach Ablauf der Aufbe- 
wahrungsfrist sind die Aufzeichnungen 
der Kontaktdaten zu löschen oder zu 
vernichten. Weiter stellt die HmbSARS- 
CoV-2-EindämmungsVO ausdrücklich 
klar, dass bei der Erfassung der Kontakt- 
daten sicherzustellen ist, dass unbefugte 
Dritte keine Kenntnis von den Kontakt- 
daten erlangen können. Zudem ist die 
Verwendung der Kontaktdaten zu ande- 
ren als den in 8$ 7 HmbSARS-CoV-2-Ein- 
dämmungsVO genannten Zwecken sowie 
deren Weitergabe an unbefugte Dritte 
untersagt.” Vor diesem Hintergrund 
stellt der Hamburgische Datenschutzbe- 
auftragte für den Datenschutz und In- 
formationsfreiheit (HmbBfDI) auf seiner 
Website klar, dass derartige Listen, in 
denen solche Daten geführt werden, we- 
der offen ausliegen noch für jedermann 
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zugänglich sein dürfen: „Oftmals ist es 
besser, die Daten zu jedem erfassten Besu- 
cher/Kunden aufeinem gesonderten Blatt 
zu führen und danach sicher wegzuschlie- 
‚ßen, wenn sie nicht elektronisch geführt 
werden. Alternativ bietet es sich vielfach 
an, die Daten schon bei der Terminverein- 
barung abzufragen. In gastronomischen 
Einrichtungen kann eine gemeinsame Lis- 
te pro Gästegruppe genutzt werden. Diese 
tragen sich dann alle auf die Liste ein, die 
auf dem gemeinsam genutzten Tisch liegt 
und das Personal entfernt sie, bevor die 
nachfolgende Gästegruppe den Tisch ein- 
nimmt. ”* 

Nach 8 7 Abs. 2 HmbSARS-CoV-2-Ein- 
dämmungsVO hat der zur Datenerhe- 
bung Verpflichtete Personen, die die 
Erhebung ihrer Kontaktdaten verwei- 
gern, von dem Besuch oder der Nutzung 
der Einrichtung, der Gewerberäume, 
der Geschäftsräume, der Gaststätte, des 
Beherbergungsbetriebes oder des La- 
denlokals oder von der Teilnahme an der 
Veranstaltung auszuschließen. 

Liegt nach Maßgabe der HmbSARS- 
CoV-2-EindämmungsVO die Verpflich- 
tung zur Kontaktdatenerhebung vor, 
lässt sich die Datenverarbeitung auf 
Art. 6 Abs. 1 lit. c) DSGVO in Verbin- 
dung mit der jeweiligen Norm aus der 
Eindämmungsverordnung stützen. Die 
Verarbeitung der personenbezogenen 
Daten ist dann zur Erfüllung einer recht- 
lichen Verpflichtung erforderlich, der 
der Verantwortliche unterliegt.'° Nach 
Ansicht des HmbBfDI soll die Erhebung 
von Namen und Kontaktdaten über die 
(oben aufgezählten) Bereiche hinaus al- 
lenfalls in Konstellationen zulässig sein, 
„die ein besonders hohes Infektionsrisiko 
bergen“.'° In Konstellationen, in denen 
keine Rechtspflicht, keine längeren 
Gespräche und kein Kontakt zu Kör- 
perflüssigkeiten besteht, bestehe aller- 
dings keine Befugnis zur Kontaktdaten- 
erfassung. So scheide eine Kundenre- 
gistrierung im Einzelhandel, aber auch 
für den öffentlichen Nahverkehr aus, 
in dem Fahrgäste zwar gegebenenfalls 
nebeneinandersitzen, jedoch regelmä- 
ßig kein Austausch erfolge. Inhaber 
könnten aber eine freiwillige Registrie- 
rung anbieten, sodass sich die Daten- 
verarbeitung aufeine Einwilligung gem. 
Art. 6 Abs. 1 lit. a) DSGVO stützen las- 
sen kann, wenn diese auch diskriminie- 
rungsfrei abgelehnt werden kann. Besu- 


cher müssten also selbst bei Ablehnung 
der Registrierung das Geschäftsangebot 
nutzen können.” 

Für die Einhaltung der datenschutz- 
rechtlichen Regelungen sind jeweils die 
Betriebsinhaber verantwortlich. Die da- 
tenschutzrechtliche Verantwortlichkeit 
ist in Art. 4 Nr. 7 DSGVO definiert. Der 
Verantwortliche hat die erfassten Daten 
vor einem unbefugten Zugriff zu schüt- 
zen und sicher aufzubewahren. Findet 
die Datenerfassung durch den Inhaber 
mit einer offenen, für alle sichtbar aus- 
liegenden Liste (z.B. am Eingang/ Tre- 
sen/an der Theke) statt, so stellt dies 
einen Verstoß gegen die DSGVO dar."? 

Die in der HmbSARS-CoV-2-Eindäm- 
mungsVO enthaltenen Regelungen wer- 
den von einem Katalog an Ordnungs- 
widrigkeitsverstößen!? und Bußgeldre- 
gelsätzen? flankiert. Bei den Verstößen 
handelt es sich um Ordnungswidrigkei- 
ten nach 8 73 Abs. 1a Nr. 24 IfSG. Derar- 
tige Ordnungswidrigkeiten werden nach 
Angaben des HmbBfDI von der zustän- 
digen Behörde (Gesundheitsbehörde) 
geahndet. Der HmbBfDI stellt zudem 
klar, dass die Polizei zuständig sei, 
wenn die sachlich zuständige Behörde 
nicht handeln könne, etwa am Wochen- 
ende oder bei Personalengpässen im 
Außendienst. Im Zusammenhang mit 
der HmbSARS-CoV-2-EindämmungsVO 
kontrolliere der HmbBfDI ausschließ- 
lich, ob sich die Inhaber an die „Regeln 
des Datenschutzrechts” halten.” 


Informationen über die Datenverar- 
beitung 


Werden personenbezogene Daten bei 
der betroffenen Person erhoben, ist der 
Verantwortliche gem. Art. 13 DSGVO 
verpflichtet, der betroffenen Person 
Informationen über die Verarbeitung 
seiner Daten mitzuteilen. Vor dem Hin- 
tergrund müssen entsprechende Da- 
tenschutzhinweise nach Maßgabe des 
Art. 13 DSGVO an die Kunden bzw. Be- 
sucher erfolgen, deren Kontaktdaten 
erfasst werden. Um der Informations- 
pflicht zu entsprechen, kann am Ort der 
Erhebung (z. B. im Empfangsbereich), 
ein Aushang angebracht oder ein In- 
formationsblatt ausgelegt werden. ”? Die 
Datenschutzinformationen müssen also 
nicht jeder erfassten Person individuell 
ausgehändigt werden.” 
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Die Landesbeauftragte für den Da- 
tenschutz Niedersachsen (LfD Nieder- 
sachsen) gibt in diesem Zuge auch den 
Hinweis, dass bereits erteilte Informa- 
tionen nach Art. 13 DSGVO, die bereits 
in der Einrichtung an die betroffene 
Person erteilt wurden, entsprechend um 
den neuen Zweck, die Rechtsgrundlage, 
die Speicherdauer und die Empfänger 
ergänzt werden können.”* 

Nach Maßgabe der niedersächsischen 
Regelungen zur Kontaktdatenerhebung 
und nach Angabe des LfD Niedersachsen 
müssen die Informationen folgendes 
beinhalten”: 


Den Namen und die Kontaktdaten des 
Verantwortlichen, 

die Kontaktdaten des Datenschutzbe- 
auftragten (soweit vorhanden), 

die Zwecke, zu denen die personen- 
bezogenen Daten verarbeitet werden 
sowie die Rechtsgrundlagen für die 
Verarbeitung, 

die Empfänger oder Kategorien von 
Empfängern (z.B. Gesundheitsamt, 
wenn eine Person sich im Nachhinein 
als infiziert herausstellen sollte), 

die Dauer der Speicherung, 

der Hinweis auf das Bestehen des 
Rechts auf Auskunft, auf Berichti- 
gung und auf Beschwerde bei einer 
Aufsichtsbehörde” und 

der Hinweis, dass die betroffenen Per- 
sonen nur die Dienstleistung in An- 
spruch nehmen bzw. die Einrichtung 
betreten können, soweit sie mit der 
Datenerfassung einverstanden sind.” 


Teilweise bieten Aufsichtsbehör- 
den auch Muster zur Kontaktdatener- 
fassung bzw. für Informationen nach 
Art. 13 DSGVO an.?® 


Datenübermittlung auf Anfrage 


Aus den jeweiligen Bestimmungen er- 
gibt sich regelmäßig, dass die Kontakt- 
daten der zuständigen Behörde” auf Ver- 
langen vorzulegen sein sollen, vgl. z.B. 
& 7 Abs. 1 Nr. 3 HmbSARS-CoV-2-Eindäm- 
mungsVO. Die LfD Niedersachsen erklärt 
im Hinblick auf Niedersachsen, dass eine 
Übermittlung jedoch nur dann erfolgen 
sollte, wenn der Verpflichtete zur Vorla- 
ge schriftlich aufgefordert werde. Um der 
datenschutzrechtlichen Rechenschafts- 
pflicht (vgl. Art. 5 Abs. 2 DSGVO) zu genü- 
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gen, empfiehlt die Landesbeauftragte jede 
(Aufforderung zur) Übermittlung zu do- 
kumentieren, um nachweisbar zu halten, 
welche Liste wann an wen wie übermittelt 
wurde. Zudem stellt die Aufsichtsbehörde 
klar, dass auch darauf zu achten sei, dass 
die erfassten Daten ausschließlich auf 
einem sicheren Übertragungsweg über- 
mittelt werden. Hier nennt die LfD Nieder- 
sachsen den Postweg, die Übermittlung 
per Fax oder per Mail mit Ende-zu-Ende- 
Verschlüsselung.” 


Woher haben Sie meine Nummer? 
- die Kontaktdatenerfassung in der 
Stichprobenbetrachtung 


Die Verarbeitung personenbezogener 
Daten und damit auch die Erhebung der 
Kontaktdaten unterliegt dem Zweckbin- 
dungsgrundsatz gem. Art. 5 Abs. 1lit. b) 
DSGVO. Betreiber dürfen die Daten daher 
nicht zweckentfremden, etwa indem sie 
diese Daten nutzen, um den Erfassten 
Werbung zukommen zu lassen, oder um 
diese für etwaige Kundenansprache zu 
nutzen.”' In den vergangenen Tagen 
häuft sich die Diskussion um den Rück- 
griff auf die Kontaktdaten zu anderen 
Zwecken.’ Laut Pressemitteilung vom 
24.06.2020 erreichen den HmbB£DI zahl- 
reiche Beratungsanfragen, aber auch Be- 
schwerden im Hinblick auf die Kontakt- 
datenerfassung: Teilweise sei verbreitete 
Praxis, offene Listen im Eingangsbereich 
auszulegen, sodass die Kontaktdaten für 
nachfolgende Gäste offenliegen. Ein der- 
artiger Umgang macht die Daten daher 
besonders missbrauchsanfällig. So liege 
der Aufsichtsbehörde nach eigenen An- 
gaben auch ein erster Hinweis vor, dass 
eine Kundin nach dem Besuch in einem 
Restaurant unter Verwendung ihrer er- 
fassten Mobilfunknummer zu privaten 
Zwecken kontaktiert wurde.” 


Bild: iStock 


Um die Wirtschaft vor Ort zu beraten 
und zu sensibilisieren, hat der HmbBf- 
DI im Juni eine Stichprobe von 100 
Gewerbe- und Gaststättenbetrieben in 
Teilen Hamburgs durchgeführt, darun- 
ter 97 Restaurants, 2 Bäckereien und 1 
Friseursalon. Im Ergebnis falle die Prü- 
fung überwiegend erfreulich aus, da in 
den meisten geprüften Betrieben eine 
datenschutzkonforme Verarbeitung 
der Kontaktdaten stattfinde. Allerdings 
hätten rund 33 % der geprüften Betriebe 
Listen verwendet, die offen ausliegen 
und für jedermann zugänglich sind.’ 


Fazit 


Es bleibt abzuwarten, wie sich die 
Corona-Situation in der nächsten 
Zeit weiterentwickeln wird. Derzeit 
scheint sich schon eine zweite Infek- 
tionswelle anzudeuten. Es muss also 
davon ausgegangen werden, dass uns 
Regelungen zur Pandemiebekämp- 
fung noch geraume Zeit beschäftigen 
werden. Ob und wie damit auch wei- 
terhin eine Kontaktdatenerfassung 
einhergeht, wird sich zeigen. Inwie- 
weit die Erfassung von Kontaktdaten 
datenschutzrechtlich vorgeschrieben 
ist, richtet sich nach den jeweils ak- 
tuell vorherrschenden rechtlichen Be- 
stimmungen im Einzelfall. 


1 Bundeszentrale für gesundheitliche Auf- 
klärung (BZgA), Coronavirus, Sich und 
andere schützen, „Welche Regelungen 
gelten zur Zeit für das öffentliche Leben 
in Deutschland?”, Stand 18.06.2020, 
abrufbar unter: 
https://www.infektionsschutz.de/ 
coronavirus/fragen-und-antworten/ 
sich-und-andere-schuetzen.html, 
abgerufen am 26.07.2020, künftig zitiert 
mit BZgA, Welche Regelungen gelten zur 
Zeit?, En. 1. 
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Sämtliche Personenbezeichnungen gel- 
ten gleichermaßen für alle Geschlechter. 


Die Bundesregierung, 17.06.2020, „Min- 
destabstand und Hygieneregeln gelten 
weiterhin“, abrufbar unter: https:// 
www.bundesregierung.de/breg-de/ 
themen/coronavirus/bund-laender- 
gespraech-1761456, abgerufen am 
26.07.2020. 


Beschluss „Bewältigung der Corona- 
Pandemie”, Besprechung der Bundes- 
kanzlerin mit den Regierungschefinnen 
und Regierungschefs der Länder am 17. 
Juni 2020, abrufbar unter: https://www. 
bundesregierung.de/resource/blob/973 
812/1761548/94bdb647e1b03200d843 
0ee22e504ea9/2020-06-17-infektionen- 
data.pdf?download=1, abgerufen am 
26.07.2020. 


So jedenfalls BZgA, Welche Regelungen 
gelten zur Zeit?, En. 1. 


LexCorona, abrufbar unter: https:// 
lexcorona.de/doku.php, abgerufen am 
26.07.2020. 


Verordnung zur Eindämmung der Aus- 
breitung des Coronavirus SARS-CoV-2 

in der Freien und Hansestadt Hamburg 
(Hamburgische SARS-CoV-2-Eindäm- 
mungsverordnung - HmbSARS-CoV- 
2-EindämmungsVO vom 30. Juni 2020 
(gültig ab 15. Juli 2020), abrufbar unter: 
https://www.hamburg.de/verordnung, 
abgerufen am 26.07.2020. 


Der Hamburgische Beauftragte für 
Datenschutz und Informationsfreiheit 
(HmbBfDI), Datenschutz in Zeiten von 
Covid-19, Stand 02. Juli 2020, abrufbar 
unter: https://datenschutz-hamburg. 
de/pages/corona-faq, abgerufen am 
26.07.2020, künftig zitiert mit HmbBfDI, 
Covid-19, En. 8. 


Niedersachsen, Vorschriften der Lan- 
desregierung, abrufbar unter: https:// 
www.niedersachsen.de/Coronavirus/ 
vorschriften-der-landesregierung-185856. 
html, abgerufen am 26.07.2020. 


10 Die Landesbeauftragte für Datenschutz 


und Informationsfreiheit Nordrhein- 
Westfalen (LDINRW), 15.06.2020, 
Hinweise zur Erfassung von Kundenkon- 
taktdaten zwecks Rückverfolgbarkeit 
von Infektionsketten in Zusammenhang 
mit dem Coronavirus SARS-CoV-2 unter 
Verweis auf die Website der Landesre- 
gierung Nordrhein-Westfalen: https:// 
www.land.nrw/corona, abrufbar unter: 
https://www.ldi.nrw.de/mainmenu_ 
Datenschutz/submenu_Datenschutz- 
recht/Inhalt/Corona-und-Datenschutz/ 
Gastronomie-Hinweise.html, abgerufen 
am 26.07.2020, künftig zitiert mit LDI 
NRW, Hinweise zur Erfassung von Kon- 
taktdaten, En. 10. 


12 Bitte beachten Sie die jeweils regiona- 
len/lokalen Bestimmungen. Die 
Ausführungen der Passage betrachtet 
lediglich die Rechtslage nach Maßgabe 
der HmbSARS-CoV-2-EindämmungsVO. 
In Niedersachsen (Niedersächsische 
Verordnung zur Neuordnung der 
Maßnahmen gegen die Ausbreitung des 
Corona-Virus SARS-CoV-2 (Niedersäch- 
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Landesbeauftragte für den Datenschutz 
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wirtschaft/corona-kontakdaten-187846. 
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sächsische Verordnung, En. 13. 


14 HmbB£DI, Covid-19, En. 8. 
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HmbBfDI, Mustervorlage Kontaktda- 
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Heinz Alenfelder 


Die Corona-App kostet 20 Millionen 
Euro und funktioniert endlich. Zwar ist 
sie datenschutzkonform, doch der Preis 
ist zu hoch. Einen Nutzen hat die Ent- 
wicklung der Corona-App ja nun doch: 
Sie hat den Datenschutz von Smartpho- 
ne-Apps generell zum Thema gemacht 
und auch dazu geführt, dass über da- 
tenschutzkonforme Lösungen auf den 
Mobilgeräten überhaupt ernsthaft dis- 
kutiert wird. 

Bisher ist es vielfach so, dass bei Ap- 
plikationen auf einem mobilen Telefon 
die „Datenschutzerklärung” - wenn 
überhaupt vorhanden - bestätigend 
weggeklickt wird und der App - je nach 
ihrem Zweck - der Zugriff auf Kontakte, 
Geopositionen, Gesprächsdaten usw. in 
der Regel gewährt wird. Wer dies verwei- 
gert, ist für die App-Industrie vernach- 
lässigbar, da zu vermuten ist, dass diese 
„Außenseiter“ gegebenenfalls gar nicht 
auf Werbeangebote reagiert hätten. 

Bei der Entwicklung der aktuellen 
Corona-App änderten sich grundlegend 
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einige Voraussetzungen: Einerseits wol- 
len die Nutzenden wissen, wie die App 
funktioniert. Sie soll eben nicht alle Be- 
wegungsdaten komplett erfassen und 
auch nicht registrieren, mit wem ich 
mich wann wo aufgehalten habe. Ande- 
rerseits soll die App möglichst auf allen 
Mobilgeräten installiert sein. 

Gesundheitsexperten gehen davon 
aus, dass die Unterbrechung von Infek- 
tionsketten per App erst bei einer Ab- 
deckung von mehr als 60 Prozent in der 
Bevölkerung zum Eindämmen der Pan- 
demie erfolgreich ist. Außerdem muss- 
ten die Mobilgiganten Apple und Google 
Schnittstellen programmieren, damit 
das Konzept umgesetzt werden konnte. 
Allein für die Entwicklung durch SAP 
und Telekom standen 20 Millionen Euro 
zur Verfügung. Betrieb und Wartung 
ziehen weitere Kosten in Millionenhöhe 
nach sich. 

Im Fazit bleibt eine große Unzufrie- 
denheit zurück, ist doch die Corona-App 
mit deutlicher Verspätung zur Verfü- 


gung gestellt worden und hatte anfangs 
massive Fehler. Hinzu kommt, dass App- 
le und Google die Schnittstellen offenle- 
gen müssten, um kontrollieren zu kön- 
nen, was dort mit den Daten passiert. 
Natürlich handelt es sich aus Sicht des 
Datenschutzes bei den offen gelegten 
Teilen der App und der Art und Weise der 
Problemlösung um ein Modell, das hilft, 
personenbezogene Daten zu schützen. 
Dies allerdings hätte man sicher für we- 
niger Geld Haben Dun ni _ 5 
zu viel kostet, www.mittelbayerische.de 
19.08.2020). 


Foto: Heinz Alenfelder/Christiane Wittich 
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Maike Grahneis 


Die Corona-Warn-App - Nutzung im 
Beschäftigungsverhältnis 


Wenn die unternehmerische Existenz 
bedroht ist 


Seit ein paar Monaten stellt SARS- 
CoV-2, das sog. Corona-Virus, auch die 
Wirtschaft vor beispiellose Herausfor- 
derungen - viele Arbeitgeberinnen'! und 
Arbeitgeber fürchten um ihr Geschäft, 
wenn nicht sogar um ihre Existenz. Mit 
milliardenschweren Hilfsprogrammen, 
Kurzarbeitergeld, steuerlichen Maß- 
nahmen und einem gemeinsamen euro- 
päischen Krisenmanagement versucht 
man der Lage Herr zu werden und die 
Wirtschaft sukzessive zu stabilisieren.? 
Die Angst vor einer weiteren Infektions- 
welle ist hoch. Weiterhin gilt es, Infekti- 
onen zu vermeiden und die Gesundheit 
der Beschäftigten zu schützen. Einmal 
mehr wurde die Dringlichkeit, die hinter 
der Bekämpfung von Infektionsketten 
steckt, im Zuge der Berichterstattung 
zum Kreis Gütersloh im Juli präsent. Ar- 
beitgeber sind daher nicht nur im eige- 
nen Interesse gehalten, Schutzmaßnah- 
men einzuführen. Da kommt die Corona- 
Warn-App (CWA) doch auch gerade pas- 
send für das Arbeitsverhältnis - oder? 

Dieser Artikel soll für ausgewählte ar- 
beits- und datenschutzrechtliche Frage- 
stellungen sensibilisieren, die mit dem 
Einsatz der Corona-Warn-App einherge- 
hen. Dazu wird zunächst auf die Funkti- 
onsweise der App eingegangen. Sodann 
werden wesentliche Aspekte der Daten- 
verarbeitung dargestellt, z.B. wer für die 
Datenverarbeitung im Rahmen der App 
verantwortlich ist, auf welcher Rechts- 
grundlage dies stattfindet und welche 
Daten verarbeitet werden. Anschlie- 
ßend erfolgt eine kurze Darstellung zu 
Lob und Kritik der (Fach-)Öffentlichkeit 
und Behörden. Sodann wird der Einsatz 
der App im Arbeitsverhältnis näher be- 
leuchtet: Es stellt sich die Frage, ob ein 
Arbeitgeber die Nutzung der App einsei- 
tig anordnen kann, ob Aspekte betrieb- 
licher Mitbestimmung relevant werden 
und ob der Arbeitgeber das Betreten von 
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Gebäuden und Betriebsstätten von der 
App abhängig machen kann. 


A. Risikoprognose per App 


Seit dem 16.06.2020 steht die Corona- 
Warn-App in deutschen App-Stores für 
Android- und i0S-Betriebssysteme kos- 
tenlos zum Download bereit. Sie wurde 
im Auftrag der Bundesregierung von 
der Deutschen Telekom AG und der SAP 
SE entwickelt und vom Robert-Koch- 
Institut (RKI) herausgegeben. Erklärtes 
Ziel: „Die CWA App soll dazu beizutra- 
gen, dass Coronavirus-Infektionsketten 
schneller erkannt und somit unterbro- 
chen werden können. Um dieses Ziel zu 
erreichen, soll die CWA App die Nutzer 
zum einen zuverlässig und schnell über 
Begegnungen mit anderen infizierten 
Nutzern informieren und so vor einer 
möglichen Ansteckung mit dem Coro- 
navirus warnen. Zum anderen sollen 
die Nutzer in nahezu Echtzeit über ein 
(positives) Testergebnis informiert wer- 
den, so dass sie sich freiwillig isolie- 
ren, andere Nutzer warnen und weitere 
aus epidemiologischer Sicht gebotene 
Maßnahmen ergreifen können.”? Laut 
Angaben des RKI wurde die App zum 
24.07.2020 rund 16,2 Millionen Mal he- 
runtergeladen.‘ 


1. Wie die App funktioniert° 


Die App nutzt das Expositionsbenach- 
richtigungswerkzeug (ENF) für „Pri- 
vacy-Preserving Contact Tracing”. Das 
Werkzeug ist Bestandteil der Betriebs- 
systeme Android und i0S.° Es ermög- 
licht Smartphones, wechselnde zufalls- 
generierte Kennnummern (sogenannte 
RPIs) zur Kontaktnachverfolgung aus- 
zutauschen. Dafür wird die Funktech- 
nik Bluetooth Low Energy (BLE), eine 
Technik mit geringem Stromverbrauch, 
genutzt.’ 

Im ENF wird täglich ein Zufallswert, 
der sog. Tagesschlüssel (Temporary Ex- 


posure Key (TEK)) erzeugt. Aus diesem 
Tagesschlüssel wird jede 10 bis 20 Mi- 
nuten ein neuer Entfernungsschlüssel 
generiert (Rolling Proximity Identifier 
(RPI)). Der jeweils zuletzt abgeleitete 
RPI wird vom Smartphone mittels BLE 
alle fünf Minuten für zwei Sekunden 
versendet. Gleichzeitig empfängt das 
Smartphone die auf diese Weise von 
anderen Smartphones ausgesendeten 
RPIs. Die empfangenen RPIs nebst Me- 
tadaten werden im Kontaktprotokoll des 
Expositionsbenachrichtigungswerk- 
zeugs für vierzehn Tage gespeichert und 
anschließend gelöscht. Die Metadaten 
umfassen das Datum des Kontakts, die 
Kontaktdauer und die Signalstärke des 
Bluetooth-Signals.® 

Wird ein Corona-Test durchgeführt, 
hat der App-Nutzer die Möglichkeit, ei- 
nen digitalen Testinformationsprozess 
zu starten und sich mittels App über das 
Ergebnis des Tests zu informieren. Er 
erhält dazu vom Arzt oder Labor einen 
QR-Code, kann diesen einscannen und 
sein Testergebnis abfragen. Dies hängt 
allerdings davon ab, dass das testende 
Labor an das Serversystem der Corona- 
Warn-App angeschlossen ist. Der Ge- 
testete muss dafür auch im Rahmen 
der Testdurchführung gesondert in die 
Übermittlung des Testergebnisses durch 
das Labor an das Serversystem eingewil- 
ligt haben.? 

Ein nachweislich infizierter Nutzer 
kann seine Einwilligung erteilen seine 
Tagesschlüssel zum Abgleich freizugeben 
und so die Information über das positive 
Testergebnis verfügbar zu machen. 

Die Schlüssel (nun „Positivschlüssel” 
genannt) werden auf den Corona-Warn- 
App-Server geladen und die aktivierten 
Corona-Warn-Apps aller Nutzer laden re- 
gelmäßig die dort hinterlegten Positiv- 
schlüssel herunter. Anschließend wer- 
den die empfangenen fremden RPIs mit 
den heruntergeladenen Positivschlüs- 
seln lokal gematcht, um festzustellen, 
ob ein Nutzer mit einem Infizierten 
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Kontakt hatte. Passen die Schlüssel zu- 
einander, wird das Übertragungsrisiko 
bewertet (Risiko-Score) und bei Über- 
schreiten bestimmter Schwellenwerte 
wird dem App-Nutzer eine Warnung an- 
gezeigt.’ Je nach Art der Begegnung 
mit einer infizierten Person wird dem 
Nutzer ein Infektionsrisiko angezeigt. 
Die App unterscheidet zwischen ge- 
ringem und erhöhtem Risiko und gibt 
Handlungsempfehlungen.'! 

Wenn das Labor oder dertestende Arzt 
nicht an die Systeme zur Bereitstellung 
der Testergebnisse angeschlossen sind, 
der QR-Code nicht lesbar ist oder kein 
QR-Code an Labor oder Nutzer ausge- 
geben wurde, hat ein Nutzer gleichwohl 
die Möglichkeit sein Ergebnis mittels 
App zu teilen. Dazu muss der Nutzer 
eine teleTAN über eine Verifikationshot- 
line erfragen. Dafür muss der Anrufende 
Plausibilitätsfragen beantworten und 
wird im nächsten Schritt um Mitteilung 
seiner Handy-/Telefonnummer gebe- 
ten. Durch einen Rückruf wird dem Nut- 
zer eine teleTAN zur Eingabe innerhalb 
der App zur Verfügung gestellt - diese 
hat eine Gültigkeit von einer Stunde. 
Laut Angaben des RKI werde die Num- 
mer spätestens innerhalb einer Stunde 
gelöscht"? 


2. Datenschutzrechtliche Aspekte 
a. Verantwortliche Stelle, Rechts- 
grundlage und verarbeitete Daten 


Das RKI ist nicht nur Betreiber und 
Herausgeber der App - es handelt sich 
bei dem RKI auch um den datenschutz- 
rechtlich Verantwortlichen im Sinne des 
Art. 4 Nr. 7 DSGVO für die Verarbeitung 
der personenbezogenen Daten der Nut- 
zer, die mit dem Betrieb der App einher- 
gehen."? 

Laut Datenschutzerklärung zur App 
verarbeitet das RKI die anfallenden 
personenbezogenen Daten im Verhält- 
nis zum App-Nutzer grundsätzlich nur 
auf Grundlage einer von dem Nutzer er- 
teilten Einwilligung nach Art. 6 Abs. 1 
S. 1lit. a) und Art. 9 Abs. 2 lit. a) DS- 
GVO.'* Die Rechtsgrundlage stößt auf 
grundsätzliche datenschutzrechtliche 
Bedenken: Neben weiteren Vorausset- 
zungen ist ein wesentliches Merkmal für 
eine wirksame Einwilligung, dass diese 
freiwillig und damit insbesondere frei 
von Zwang erteilt wird." Die Freiwillig- 
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keit setzt eine echte Wahlmöglichkeit 
für die betroffene Person voraus.'® Ins- 
besondere vor dem Hintergrund eines 
gewissen sozialen Drucks zur Nutzung 
der App wird von verschiedenen Seiten 
diskutiert, ob es an der Freiwilligkeit 
des Einzelnen fehlen könnte und die 
Einwilligung als Rechtsgrundlage für 
die Verarbeitung daher ungeeignet ist.!’ 
Teile der Literatur geben zu bedenken, 
dass das Spannungsverhältnis zwischen 
Freiwilligkeit und effektiver Eindäm- 
mung der Infektionen möglicherweise 
auch nicht hinreichend dadurch auf- 
gelöst werden könne, dass Nutzer nach 
Installation der App aktiv sowohl der Ri- 
sikoermittlung als auch dem Teilen des 
Testergebnisses zustimmen müssen.'? 
Vom RKI heißt es dazu: „Das RKI sollte 
fortwährend beobachten, ob Anzeichen 
für einen ‚sozialen Zwang’ zur Nutzung 
der CWA-App bestehen und ggf. gegen- 
steuernde Maßnahmen ergreifen.”'? 

Gegen eine Freiwilligkeit spricht in- 
des, wenn zwischen dem Verantwort- 
lichen und den Betroffenen ein klares 
Machtungleichgewicht besteht, etwa 
dann, wenn es sich bei dem Verantwort- 
lichen um eine Behörde handelt (vgl. 
ErwG 43 DSGVO). Nach Ansicht des RKI 
könne aus dem Umstand, dass das RKI 
als Bundesoberbehörde ein staatliches 
Organ repräsentiere, allerdings grund- 
sätzlich nicht auf die fehlende Freiwil- 
ligkeit geschlossen werden. ?® 

Die von der App bzw. dem RKI verar- 
beiteten Daten können im Wesentlichen 
in die Kategorien Zugriffs-, Begeg- 
nungs- und Gesundheitsdaten unter- 
teilt werden?'!: Zugriffsdaten fallen an, 
wenn gewisse Funktionen genutzt bzw. 
aktiviert werden, z.B. die Risikoermitt- 
lung, die Testregistrierung oder das Tei- 
len des Testergebnisses. Begegnungs- 
daten sind die Zufallsnummern, die von 
dem Smartphone des Nutzers gesendet 
und empfangen werden können. Dazu 
zählen auch die Metadaten. Allerdings 
handelt es sich bei der Kontaktaufzeich- 
nungs-Funktion laut Datenschutzerklä- 
rung zur App nicht um einen Bestand- 
teil der App, sondern um einen integ- 
ralen Bestandteil des Betriebssystems 
des Smartphones. In der Datenschutz- 
erklärung wird daher ausdrücklich da- 
rauf hingewiesen, dass diese Funktion 
für iPhones von Apple und für Android- 
Smartphones von Google bereitgestellt 


werde, die Datenverarbeitung den Da- 
tenschutzbestimmungen der genannten 
Unternehmen unterliege und damit au- 
ßerhalb des Einflussbereichs des RKlIlie- 
ge.” Wird ein Infektionsrisiko ermittelt, 
sind die Daten als Gesundheitsdaten zu 
werten.? Nach der Legaldefinition aus 
Art. 4 Nr. 15 DSGVO sind unter Gesund- 
heitsdaten personenbezogene Daten zu 
verstehen, die sich auf die körperliche 
oder geistige Gesundheit einer natürli- 
chen Person, einschließlich der Erbrin- 
gung von Gesundheitsdienstleistungen, 
beziehen und aus denen Informationen 
über deren Gesundheitszustand hervor- 
gehen. Gesundheitsdaten liegen auch 
vor, wenn ein Test registriert wird und 
wenn der Nutzer ein positives Tester- 
gebnis teilt.?* 

Auf der Website des RKI heißt es: „Die 
App hat keinen Zugriff auf Daten, die 
einen Nutzer identifizierbar machen. Si- 
chergestellt ist: Eine Corona-positiv ge- 
testete Person erfährt nicht, wer infor- 
miert wird. Diejenigen, die informiert 
werden, erfahren nicht, wer die Corona- 
positive Person ist.” 


b. Lokale Datenverarbeitung - der 
„dezentrale Ansatz” 


Nach vermehrter Kritik zur ur- 
sprünglich präferierten Basissoftware 
PEPP-PT (Pan-European Privacy-Preser- 
ving Proximity Tracing) setzt die Bun- 
desregierung mit der Corona-Warn-App 
nun auf einen dezentralen Ansatz. Da- 
bei werden die Schlüssel zunächst aus- 
schließlich auf den jeweiligen Smart- 
phones der App-Nutzer gespeichert und 
nicht auf einem zentralen Server. Erstin 
dem Fall, dass ein Infizierter sein positi- 
ves Testergebnis teilen möchte, werden 
die zufälligen Kontaktkennungen über 
einen Server an alle Nutzer der Corona- 
Warn-App übertragen. Das Matchen der 
Kontakte erfolgt dann lokal auf den 
Smartphones der anderen App-Nutzer.?” 


3. Lob und Kritik der (Fach-) 
Öffentlichkeit und Behörden 


Der Bundesbeauftragte für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI) Professor Ulrich Kelber positio- 
nierte sich zum Start der App wie folgt: 
„Aus Sicht des Datenschutzes sehe ich 
keinen Grund, der gegen eine Installa- 
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tion spricht. [...]”. Dennoch gibt er zu 
bedenken: „Aber es gibt noch Schwach- 
stellen. Dort müssen die verantwortli- 
chen Behörden und Unternehmen An- 
passungen vornehmen. Als zuständige 
Aufsichtsbehörde werden wir überprü- 
fen, dass unsere Hinweise schnellstmög- 
lich umgesetzt werden. [...]”. Kritisch 
sah der BfDI vor allem den Medienbruch 
von der App zur telefonischen Hotline. 
So könne der Weg über die Hotline nicht 
mit einer vollständig pseudonymen Nut- 
zung der App über das automatisierte 
Verfahren mithalten.?® 

Die Konferenz der unabhängigen Da- 
tenschutzaufsichtsbehörden des Bun- 
des und der Länder (DSK) äußerte sich 
mit Pressemitteilung vom 16.06.2020. 
Sie sehe das „datenschutzfreundliche 
Grundkonzept als Realisierung des 
Grundsatzes von Datenschutz by De- 
sign.” Gleichzeitig stellte sie aber auch 
klar, dass die Freiwilligkeit nicht durch 
zweckentfremdende Nutzung untergra- 
ben werden dürfe.?? 

Unmittelbar vor der App wurde auch 
die  Datenschutz-Folgenabschätzung 
(DSFA) veröffentlicht. Bei der DSFA 
handelt es sich um eine datenschutz- 
rechtliche Risikoanalyse nach Maß- 
gabe des Art. 35 DSGVO. Eine Pflicht 
zur Durchführung einer DSFA besteht, 
wenn eine Form der Datenverarbeitung 
voraussichtlich ein hohes Risiko für die 
Rechte und Freiheiten von Personen 
hat.?° Dabei werden die Verarbeitungs- 
vorgänge systematisch identifiziert, 
bewertet und Abhilfemaßnahmen zur 
Risikobewältigung geplant. Das Forum 
InformatikerInnen für Frieden und ge- 
sellschaftliche Verantwortung (FIfF) 
hat die DSFA zur Corona-Warn-App 
analysiert: Zunächst lobt das FIfF den 
Entwicklungsprozess der App, kommt 
allerdings auch zu dem Ergebnis, dass 
die DSFA ganz wesentliche grundsätzli- 
che Schwächen aufweise.°' Hauptmän- 
gel der DSFA seien etwa, dass man sich 
nur auf die App selbst und nicht auf das 
ganze Verfahren konzentriert habe und, 
dass man den Verantwortlichen selbst 
nicht als potentiellen Angreifer einbe- 
zogen habe. Zudem sei die Verarbeitung 
datenschutzrechtlich noch nicht hinrei- 
chend durchdrungen worden. Kritisiert 
wird auch die unzureichende Diskussi- 
on effektiver Schutzmaßnahmen zu al- 
len Risiken.” 


DANA ® Datenschutz Nachrichten 3/2020 


B. Der Einsatz der Corona-Warn-App 
im Arbeitsverhältnis 


1. Kann der Arbeitgeber die Nut- 
zung der App anordnen? 


Seit Veröffentlichung der App wird 
vielfach diskutiert, ob ein Arbeitgeber 
die Nutzung der App aufgrund seines 
Direktionsrechts gem. $ 106 GewO an- 
ordnen kann. Im Hinblick auf die priva- 
ten Endgeräte von Arbeitnehmern stößt 
eine derartige Anordnung allerdings 
schnell an ihre Grenzen, denn die Ge- 
staltung des privaten Lebensbereiches 
steht außerhalb der Einflusssphäre des 
Arbeitgebers.” In den Bereich der pri- 
vaten Lebensführung darf durch das 
Weisungsrecht nach 8 106 GewO grds. 
nicht eingegriffen werden.’ Eine ver- 
pflichtende Nutzungsanordnung durch 
den Arbeitgeber würde aber gerade in 
das Privateigentum des Arbeitnehmers 
eingreifen.’° Vereinzelte Stimmen in 
der Literatur ziehen daher in Erwägung, 
dass eine Anordnung zur Installation 
der App zumindest auf dienstlich be- 
reitgestellten Smartphones in Betracht 
kommen könnte.°’ Das Bayerische Lan- 
desamt für Datenschutzaufsicht (BayL- 
DA) erteilte allerdings kurzerhand eine 
klare Absage: Ein Arbeitgeber dürfe sei- 
ne Beschäftigten nicht verpflichten, die 
Corona-Warn-App auf ihren Smartpho- 
nes zu nutzen - dies sei datenschutz- 
rechtlich unzulässig. Kein Beschäftigter 
dürfe verpflichtet werden, durchgängig 
seine Kontakte und seinen Gesund- 
heitszustand erfassen zu lassen.°® Dazu 
führt das BayLDA aus: „Solch massiver 
Eingriffin die Freiheit des Beschäftigten 
ist nicht zulässig, da dem Arbeitgeber 
zum Schutz seiner Beschäftigten mil- 
dere Mittel in der Form der allgemeinen 
Hygienemaßnahmen zur Verfügung ste- 
hen. Ein solches Vorgehen würde zudem 
die vom Anbieter der App, dem Robert- 
Koch-Institut, in seinen Nutzungsbe- 
dingungen festgelegte Freiwilligkeit 
der Nutzung der App unterlaufen. Diese 
Rechtslage gilt für private Geräte der 
Beschäftigten wie für dienstlich bereit- 
gestellte Geräte gleichermaßen.” 

Das BayLDA sieht hier bereits das Un- 
gleichgewicht im Beschäftigungsver- 
hältnis als Show-Stopper: „Die Einwil- 
ligung wäre aufgrund des Ungleichge- 
wichts im Beschäftigungsverhältnis in 


aller Regel als nicht freiwillig und damit 
datenschutzrechtlich unwirksam anzu- 
sehen.”?? 

Zudem ergibt sich ein beschränk- 
ter Nutzen der Risikowertermittlung 
durch die App, wenn der Beschäftigte 
das Smartphone nicht ständig bei sich 
führt.‘ Wenn das Endgerät etwa nur 
während der Arbeitszeit am Körper ge- 
tragen wird, beschränkt sich die Risi- 
kobetrachtung eben auch nur auf diese 
Zeiträume. Eine Erfassung wäre aber 
überhaupt nur dann sinnvoll, wenn sich 
diese auch auf die Freizeit erstrecken 
würde.‘! 

Ob die bloße Empfehlung eines Ar- 
beitgebers, die App zu nutzen, ein 
gangbarer Weg ist, wirft gleichermaßen 
Fragen im Hinblick auf einen gewissen 
sozialen Druck auf” und bedarf einer 
gesonderten Betrachtung. 


2. Corona-Warn-App als Fall be- 
trieblicher Mitbestimmung? 


Im Zusammenhang mit der Corona- 
Warn-App im Arbeitsverhältnis stellt 
sich auch die Frage nach Aspekten be- 
trieblicher Mitbestimmung“: So hat 
der Betriebsrat beispielsweise gem. 
887 Abs. 1Nr. 1 BetrV/G, soweit eine ge- 
setzliche oder tarifliche Regelung nicht 
besteht, ein Mitbestimmungsrecht bei 
Fragen der Ordnung des Betriebs und 
des Verhaltens der Arbeitnehmer im Be- 
trieb. Zudem besteht gem. & 87 Abs. 1 
Nr. 7 BetrVG ein Mitbestimmungsrecht 
bei Regelungen über den Gesundheits- 
schutz im Rahmen der gesetzlichen 
Vorschriften. Relevant wäre auch eine 
Mitbestimmung aus &$ 87 Abs. 1 Nr. 6 
BetrVG, wenn man Einführung und An- 
wendung der App als eine technische 
Einrichtung zu werten hätte, die dazu 
bestimmt ist, das Verhalten oder die 
Leistung der Arbeitnehmer zu überwa- 
chen.‘ 

Allerdings wird auch die betriebli- 
che Mitbestimmung nicht darüber hin- 
weghelfen können, dass sich die Wei- 
sungsbefugnis eines Arbeitgebers (als 
Betriebspartei) nicht auf die privaten 
Lebensbereiche des Arbeitnehmers er- 
streckt.‘ Abgesehen davon wird aber 
auch im Hinblick auf die dienstlichen 
Smartphones der Grundsatz der Freiwil- 
ligkeit der Corona-Warn-App einer Nut- 
zungsanordnung entgegenstehen.“ Bei 
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einer Betriebsvereinbarung wird es sich 
insoweit nicht um einen geeigneten da- 
tenschutzrechtlichen Erlaubnistatbe- 
stand handeln.” 


3. Kann der Zugang zu Gebäuden/ 
Arbeitsstätten vom Vorweisen der 
App abhängig gemacht werden? 


Zudem stellt sich die Frage, ob der 
Zugang zu Gebäuden und Arbeitsstät- 
ten vom Vorweisen der App abhängig 
gemacht werden kann. In diesem Zuge 
wird diskutiert, ob Einzelnen der Zutritt 
etwa auf Grundlage des Hausrechts ver- 
weigert werden kann. 

Die DSK hat mit Pressemitteilung 
vom 16.06.2020 allerdings ausdrück- 
lich klargestellt, dass der Zugang zu 
Gebäuden/Arbeitsstätten nicht vom 
Vorweisen der Corona-Warn-App ab- 
hängig gemacht werden dürfe. Bei ei- 
nem solchen Vorhaben handle es sich 
um eine zweckwidrige Verwendung 
der App, die bereits mit dem Konzept 
der Freiwilligkeit nicht vereinbar sei. 
Zudem sei eine Diskriminierung von 
Personen, die die App nicht anwenden, 
auszuschließen. ‘® 

Schon unmittelbar zum Start der App 
mahnte der BfDI: „Es ist in keinem Fall 
zulässig, dass Dritte Einblick in die App 
fordern. Ich kann die Inhaber von Ge- 
schäften oder öffentlichen Verkehrsmit- 
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teln nur dringend warnen: Versucht es 
erst gar nicht!”“ 


4. Pflicht zur Mitteilung eines er- 
höhten Infektionsrisikos 


Überdies stellt sich die Frage, ob ein 
Arbeitnehmer, der die Corona-Warn- 
App nutzt, seinem Arbeitgeber mitzu- 
teilen hat, wenn die App ihn im Hin- 
blick auf ein erhöhtes Infektionsrisiko 
warnt. Zunächst ist zu beachten, dass 
sowohl Arbeitgeber als auch Arbeit- 
nehmer im Arbeitsverhältnis gewissen 
Schutz- und Rücksichtnahmepflichten 
als Nebenpflichten aus ihrem Arbeits- 
vertrag unterliegen. Zudem unterliegt 
ein Arbeitgeber auch Schutzmaßnah- 
men gegenüber weiteren Beschäftig- 
ten, etwa nach 8 3 Abs. 1 ArbSchG, 
& 618 BGB. Vor diesem Hintergrund 
halten es Stimmen in der Literatur in 
bestimmten Konstellationen durchaus 
für möglich, dass dem Arbeitgeber der 
Umstand eines erhöhten Infektionsri- 
sikos aus der App verpflichtend anzu- 
zeigen sei, selbst, wenn dies mit Blick 
auf die Freiwilligkeit der App zunächst 
widersprüchlich erscheinen möge.’ In 
derartigen Fällen sei eine Interessen- 
abwägung im Einzelfall vorzunehmen, 
die zum einen den Schutz des Betrof- 
fenen vor Preisgabe der eigenen beson- 
ders geschützten Gesundheitsdaten 


und zum anderen erhebliche Gesund- 
heits- und Ansteckungsgefahren für 
Dritte berücksichtige.’' 


C. Fazit 


Die Corona-Warn-App fußt auf dem 
Grundsatz der Freiwilligkeit. Deutsche 
Aufsichtsbehörden erteilen einer ein- 
seitigen Anordnung zur Nutzung eine 
Absage. Insbesondere kann der Zugang 
zu Gebäuden/Arbeitsstätten nicht vom 
Vorweisen der App abhängig gemacht 
werden. Unter Umständen könnte sich 
eine Pflicht zur Information des Arbeit- 
gebers bei der Warnung vor einem er- 
höhten Infektionsrisiko ergeben. 
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Dr. Susanne Holzgraefe 


Die Tücken der Heimarbeit 


Die Regierung spricht von Heimarbeit, 
der Volksmund von HomeOffice. Es ent- 
steht der Eindruck, als hätte sich das 
Verständnis der beiden Begriffe in Coro- 
na-Zeiten etwas verschoben. Allerdings 
führten die Begriffe auch schon vor 
Corona zu unterschiedlichen Ansichten 
ihrer Bedeutung. In dem Zusammen- 
hang, dass Beschäftigte zur Erbringung 
ihrer Leistung örtlich ausgelagert wer- 
den, fallen daneben auch häufiger die 
Begriffe: Mobiler Arbeitsplatz und Work- 
from-Anywhere. Auch hier gibt es ver- 
schiedene Ideen, was sich genau hinter 
den Begriffen verbirgt. Die Pandemie 
hat gezeigt, dass Beschäftigte nicht nur 
in Heimarbeit geschickt wurden, son- 
dern auch häufig vor der Bring Your Own 
Device (BYOD) Problematik stehen. 

Um das Thema Datenschutz unter dem 
Aspekt, dass Arbeitsplätze örtlich aus- 
gelagert sind, genauer unter die Lupe 
nehmen zu können und Missverständ- 
nisse zu vermeiden, ist es erforderlich, 
die Begriffe, wie sie hier im Artikel ver- 
wendet werden, einmal zu definieren 
undjede dervier genannten Situationen 
einzeln zu betrachten. 

Um die Gesetze und Vorschriften zum 
Datenschutz auch bei den unterschiedlich 
vorliegenden Bedingungen der Arbeits- 
plätze zu gewährleisten, sollten im Vor- 
feld die Maßnahmen, nicht nur die tech- 
nischen sondern vor allem auch die orga- 
nisatorischen, genau durchdacht werden. 


Geltung von Gesetzen und Vorschriften 


Die Gesetze und Vorschriften zum 
Datenschutz gelten natürlich völlig 
unabhängig von der genaueren Spezi- 
fikation der Arbeitsbedingungen. Die 
Verantwortlichen bleiben verantwort- 
lich, egal ob Angestellte zu Hause am 
Küchentisch oder auf hoher See in der 
Kajüte eines Segelschiffes ihre Tätigkeit 
ausführen. Der genaue Dienstort spielt 
dennoch eine entscheidende Rolle. 

Nicht nur Feiertage, Mindest- und Bil- 
dungsurlaub sowie das zuständige Ar- 
beitsgericht sind von dem Dienstort ab- 


172 


hängig, sondern ggf. auch die Gesetze 
und Vorschriften zum Datenschutz. Än- 
dert sich der Ort der Datenverarbeitung, 
ist zu prüfen, ob weitere lokale Gesetze 
und Vorschriften einzuhalten sind. Hat 
zum Beispiel ein schwedisches Unter- 
nehmen Beschäftigte im HomeOffice in 
Deutschland mit der Verarbeitung per- 
sonenbezogener Daten betraut, sollte 
das Unternehmen nicht nur die DSGVO 
sowie ggf. schwedische Gesetze im Blick 
haben, sondern auch das BDSG. 

Wohnen in Deutschland angestellte 
zum Beispiel in Belgien, den Niederlan- 
den oder Österreich, so ist zu bedenken, 
dass bei einer Auslagerung des Dienstor- 
tes an die Wohnorte der Beschäftigten 
sich plötzlich nicht nur die Feiertage 
und arbeitsrechtlichen Bedingungen 
für die entsprechenden Personen än- 
dern, sondern je nach Aufgabenbereich 
ggf. auch andere Datenschutzvorschrif- 
ten einzuhalten sind. Spannend wird 
es hier, wenn Nicht-EU-Länder, wie die 
Schweiz, beteiligt sind. 

Öffentliche Stellen, die ihre Beschäf- 
tigten in die Heimarbeit schicken, sollten 
dabei darüber hinaus bedenken, dass Be- 
schäftigte durchaus in anderen Bundes- 
ländern wohnen können. Findet zum Bei- 
spiel die Datenverarbeitung eines Jugend- 
amtes in NRW plötzlich in Niedersachsen 
statt, istzu prüfen, inwieweit jetzt zusätz- 
lich das niedersächsische Landesdaten- 
schutzgesetz Anwendung findet. 


Corona Fauxpas 


Plötzlich Lockdown, plötzlich Ab- 
stand halten. Plötzlich rät die Regie- 
rung zur Heimarbeit und viele öffentli- 
che Stellen sowie Unternehmen der frei- 
en Wirtschaft reagieren postwendend. 

„Wir leiten jetzt alle E-Mails, selbst die 
mit sensiblen Informationen zu einzelnen 
Kindern, unverschlüsselt an die privaten 
E-Mail-Adressen der Beschäftigten weiter, 
die ab sofort zu Hause arbeiten, weil wir 
es technisch nicht umgesetzt haben, dass 
die Beschäftigten E-Mails auch ausser- 
halb des im Verwaltungsbüro stehenden 


Computers empfangen können, und wir 
darüber hinaus für die Weiterleitung noch 
keine Verschlüsselungsmethoden einge- 
richtet bzw. eingeführt haben.” 

Das ist nur eine der vielen Aussagen 
sowohl aus öffentlichen Verwaltungen 
als auch der freien Wirtschaft während 
des Corona-Lockdowns, die Datenschüt- 
zern den Atem stocken ließ. Noch mehr, 
wenn Verantwortliche und auch Perso- 
nen in der Politik das dann auch noch 
mit „Kavaliersdelikt” oder „das müsse 
man doch verstehen, dass das nunmal 
Jetzt während der Pandemie nicht anders 
ginge“ lässig abwedelten. 

Dass private E-Mail-Adressen durch- 
aus häufiger von der ganzen Familie 
genutzt werden, und so Partner, Kinder, 
Eltern oder auch Freunde - häufig die 
Freunde, die sich mit Computern besser 
auskennen - die Zugangsdaten zu den 
privaten E-Mail-Konten haben, kommt 
hier aus Sicht von Sicherheit und Daten- 
schutz noch erschwerend hinzu. 

Gerne werden die Personen, die auf 
die Problematik aufmerksam machen, 
als „Verschwörungstheoretiker“ abge- 
stempelt und abhängig Beschäftigte 
laufen dabei Gefahr, als Störenfried des 
Betriebsklimas angesehen zu werden 
und auf der Abschussliste zu landen. 

Wie gravierend die Folgen der Da- 
tenpannen, die während der Corona- 
Pandemie entstanden sind, sowie Sen- 
sibilisierungsdefizite von Beschäftigten 
sind, lässt sich nur schwer erahnen. Es 
zeigt sich jedoch, wie wichtig es ist die 
Auslagerung von Beschäftigten genau 
zu planen, Maßnahmen zu überdenken 
und technische Sicherheitsanforderun- 
gen im Vorfeld umzusetzen. 


Homeoffice 


Wörtlich übersetzen lässt sich das 
Wort HomeOffice mit heimisches Büro. Ei- 
ner der Pioniere im Bereich HomeOffice 
war der schwedische Softwarehersteller 
MySQL AB (heute Oracle). Sie wollten 
für ihre Software die weltweit besten 
Programmiererinnen und Programmie- 
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rer unter Vertrag nehmen, ohne dass sie 
samt Familien nach Uppsala umsiedeln 
mussten. Das Unternehmen entwickel- 
te Voraussetzungen und Strategien, so 
dass alle Beschäftigten ihren Dienstort 
in der Nähe ihres Wohnortes hatten. Die 
Autorin hatte das Glück mehrere Jahre 
Teil dieses Unternehmens zu sein. Die 
Zufriedenheit der Beschäftigten hat- 
te oberste Priorität. Die vielen unter- 
schiedlichen, dienstortabhängigen Vor- 
schriften zu beachten war nicht immer 
einfach. 

HomeOffice muss natürlich nicht im- 
mer gleich länderübergreifend sein. Auch 
gibt es Unternehmen, bei denen sich zu- 
künftig Beschäftigte zwischen überwie- 
gend Homeoffice oder überwiegend am 
Sitz des Unternehmens entscheiden kön- 
nen. Dem Teil-HomeOffice ist der nachfol- 
gende Abschnitt gewidmet. 

HomeOffice, wie es hier im Artikel 
verwendet wird, ist das selbstverwal- 
tete Büro am Wohnort. Der Dienstort 
ist in der Nähe des Wohnortes. Hierbei 
ist egal, ob sich das Büro im Haus bzw. 
der Wohnung des Beschäftigten be- 
findet, sich Beschäftigte jeweils einen 
Büroraum anmieten oder sich in ein Ge- 
meinschaftsbüro einmieten. Sind meh- 
rere Beschäftigte an einem Ort ansässig, 
können sie auch gemeinsam Bürofläche 
für ihre Arbeitsplätze anmieten. 

Der Dienstort wird im Arbeitsvertrag 
festgelegt. Es gelten die dienstortabhän- 
gigen, rechtlichen Bestimmungen für 
diesen Dienstort. Verantwortlich bleibt 
aber nach wie vor die Arbeitgeberin. 
Daher ist es ratsam, die Gestaltung des 
Dienstortes nicht nur unter Berücksich- 
tigung ergonomischer Aspekte, sondern 
vor allem auch unter Einhaltung der Da- 
tenschutz-, Sicherheits- und IT-Sicher- 
heits-Aspekte vertraglich zu regeln. 

Damit Beschäftigte später nicht mit 
Art. 13 GG (Schutz der eigenen Woh- 
nung) winken, wenn Vertretende der 
Arbeitgeberin wie zum Beispiel die IT- 
Sicherheits- oder die Datenschutzbe- 
auftragte vorbeikommen, um sich von 
der Einhaltung der Vorschriften vor Ort 
zu überzeugen, ist es ratsam, auch das 
im Vertrag festzuschreiben. Darüber 
hinaus bedarf es ggf. vertraglicher Re- 
gelungen zu Kunden- und Kollegenbe- 
suchen sowie der Bereitstellung eines 
Arbeitsplatzes im HomeOffice für Auszu- 
bildende. Auch ratsam ist, Betriebsprü- 
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fungen und Durchsuchungen bei den 
Verhandlungen zu bedenken. 

Die Definition des hier dargestellten 
HomeOffice ist quasi eine Mikronieder- 
lassung des Unternehmens, die von den 
jeweiligen Angestellten selbst verwaltet 
wird. Hierbei stellt sich dann auch die 
Frage, wer das Büro sauber hält und wie 
das mit dem Zugang der Familie aussieht. 

Wird ein Anstellungsverhältnis im 
HomeOffice von Anfang an angestrebt, 
lässt sich alles im Anstellungsvertrag 
regeln. Schwierig wird es jedoch, wenn 
in einem bestehenden Anstellungsver- 
hältnis auf HomeOffice umgestellt wer- 
den soll. Immerhin ist es eine Dienstort- 
Änderung und die Voraussetzungen 
für das jeweilige Büro am Wohnort der 
Beschäftigten müssen auch erstmal ge- 
schaffen werden. 


Teil-Homeoffice 


Teil-HomeOffice, auch partielles Home- 
Office genannt, sieht vor, dass Beschäf- 
tigte zum einem ihr, wie oben schon 
beschrieben, selbst verwaltetes Büro 
am Wohnort haben und das Unterneh- 
men ihnen daneben noch einen festen 
Arbeitsplatz im Sitz des Unternehmens 
zur Verfügung stellt, so dass die Beschäf- 
tigten zum Beispiel dienstags und mitt- 
wochs Homeoffice machen, montags, 
donnerstags und freitags in ihrem Büro 
im Unternehmen anzutreffen sind. Für 
viele ortsabhängige rechtliche Grund- 
lagen ist hier ausschlaggebend, wo sich 
Beschäftigte häufiger aufhalten. Zum 
Beispiel für Feiertage, Bildungsurlaub 
und je nach Tätigkeit auch für die Geset- 
ze und Vorschriften zum Datenschutz. 

Für die Gesetze und Vorschriften des 
Datenschutzes ist zu bedenken, dass, 
auch wenn die Datenverarbeitung nur 
zu einem geringen Prozentsatz in einem 
anderen Bundesland ausgeführt wird, 
zu prüfen ist inwieweit hier die Daten- 
schutzbestimmungen des entsprechen- 
den Landes bzw. Bundeslandes zu be- 
achten sind. 


Heimarbeit 


Heimarbeit wird in diesem Artikel als 
etwas völlig anderes definiert als das 
HomeOffice. Früher wurden Krabben in 
Heimarbeit an norddeutschen Küchen- 
tischen gepult oder Kugelschreiber am 


heimischen Wohnzimmertisch zusam- 
mengebaut. Heimarbeit war etwas für 
Tätigkeiten, die keinen Geschäftsge- 
heimnissen unterlagen. Doch das hat 
sich geändert. 

Heute werden auch Tätigkeiten am 
heimischen Küchen- oder Wohnzim- 
mertisch verrichtet, die nicht nur Ge- 
schäftsgeheimnisse beinhalten, son- 
dern durchaus auch datenschutz- und 
IT-sicherheitskritisch sind. 

Eine von vielen Schwierigkeiten dabei 
ist, dass sich Art. 13 GG (Schutz der ei- 
genen Wohnung) hier nicht so einfach 
durch vertragliche Regelung umgehen 
lässt wie beim HomeOffice, da ja quasi 
die gesamte Wohnung zum Arbeitsplatz 
wird und nicht nur ein einzelner Raum 
für die abhängigen Tätigkeiten zur Ver- 
fügung gestellt wird. Eine Überprüfung 
durch die Verantwortlichen, ob die Da- 
tenverarbeitung vor Ort ordnungsge- 
mäß abläuft, kann schwierig werden. 

Eine Trennung zwischen privat und 
geschäftlich ist für Beschäftigte weit 
schwieriger als beim HomeOffice. Da sie 
hier nicht einfach nur eine Tür schlie- 
ßen können, ist die Gefahr groß, dass 
die Arbeit Teil des Privatlebens wird. 
Anwesende Familienmitglieder und Be- 
sucher können ungewollt automatisch 
Ohren- und ggf. sogar Augenzeugen von 
Audio- und Video-Chats sowie Telefon- 
gesprächen werden. 

Bei der Heimarbeit wird die Wohnung 
des Beschäftigten zum Dienstort und 
es gelten die an dem Ort geltenden, 
dienstortabhängigen, rechtlichen Be- 
stimmungen. Genau wie beim Home- 
Office sollte selbst bei nur teilweise in 
Heimarbeit verarbeiteten personenbe- 
zogenen Daten geprüft werden, inwie- 
weit hier die Datenschutzbestimmun- 
gen des entsprechenden Landes bzw. 
Bundeslandes, in dem sich die Wohnung 
befindet, zu beachten sind. 

Schwierig ist natürlich auch hier, Be- 
schäftigte von jetzt auf gleich in Heim- 
arbeit zu schicken. Von der Fraglichkeit 
der Freiwilligkeit abgesehen handelt es 
sich auch hier um einen Dienstortwech- 
sel und Beschäftigte müssen dafür zu 
Hause ggf. vorher noch die eine oder 
andere Vorkehrung bzw. Voraussetzung 
schaffen, dass ein Arbeiten von zu Hau- 
se überhaupt möglich ist. 

Es ist ratsam im Vorfeld genau zu 
prüfen, wie hoch das Risiko ist, wenn 
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personenbezogene Daten in Heimarbeit 
verarbeiten werden. 


Mobiler Arbeitsplatz 


Mobiler Arbeitsplatz bedeutet hier in 
diesem Artikel, dass die Arbeitsmittel, 
wie Computer, nicht fest installiert sind, 
sondern mobile Geräte, wie Laptops, Ta- 
blets und Smartphones genutzt werden. 
Dadurch sind Beschäftigte flexibel und 
können sowohl in einer Niederlassung 
der Arbeitgeberin, als auch im HomeOf- 
fice oder in Heimarbeit arbeiten. 

Mobiler Arbeitsplatz bedeutet hier noch 
nicht, dass Beschäftigte von überall ar- 
beiten sollten, sondern nur, dass die ver- 
wendeten Geräte an verschiedenen Orten 
innerhalb des Unternehmens sowie beim 
Kunden oder im HomeOffice genutzt wer- 
den können. Auch das Arbeiten während 
Dienstreisen, zum Beispiel in der Bahn 
oder im Flieger, wird damit möglich. 

Mobile Arbeitsplätze sind sehr beliebt 
und es ist ratsam, hier sehr gut durch- 
dachtetechnische und organisatorische 
Maßnahmen zu entwickeln, die das da- 
tenschutzfreundliche Arbeiten in allen 
Filialen, beim Kunden, in der Bahn usw. 
abdecken. 


Work-from-Anywhere 


Egal ob am Nordseestrand, auf Mallor- 
ca oder daheim am Esstisch: Work-from- 
Anywhere soll dem Beschäftigten die 
Möglichkeit bieten von überall zu arbei- 
ten. Einen festen Dienstort soll es da- 
bei eigentlich nicht geben. Das Modell 
hakt alleine schon durch die Tatsache, 
dass es eine Reihe dienstortabhängiger 
rechtlicher Bestimmungen gibt. 

Die Überwachung der Verarbeitung von 
personenbezogenen Informationen durch 
die Verantwortlichen bzw. die betriebli- 
chen Datenschutzbeauftragten könnte 
schwierig werden, wenn der Beschäftigte 
plötzlich am anderen Ende der Welt ist. 

Es ist hier ratsam im Vorfeld genau zu 
prüfen, wie hoch das Risiko ist, wenn 
personenbezogene Daten von Beschäf- 
tigten verarbeitet werden, die Work-from- 
Anwhere vertraglich vereinbart haben. 


Bring Your Own Device (BYOD) 


Köche mögen ihre eigenen Messer 
mitbringen, Friseure ihre eigenen 
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Scheren. Weder die Messer noch die 
Scheren speichern Informationen zu 
anderen Personen. Vielleicht ist in das 
Messer bzw. die Schere ein Name ein- 
graviert und anhand der Abnutzung 
können findige Augen erkennen, wem 
das Werkzeug gehört. An der Friseur- 
schere mögen vielleicht auch noch 
DNA-Spuren des letzten Kunden zu 
finden sein. Das Datenschutzrisiko ist 
hier aber dennoch extrem gering. Ob 
die Köchin ihr Messer oder die Friseu- 
rinihre Schere auch noch privat nutzt, 
macht hier aus Sicht des Datenschutzes 
keinen Unterschied. 

Bei Computern, Laptops, Tablets oder 
Smartphones sieht das Ganze anders aus. 
Nutzen Beschäftigte ihre eigenen Geräte 
sowohl privat als auch für die Arbeit, so 
ist die Gefahr groß, dass sich private und 
geschäftliche Informationen mischen. 

„Unsere Kinder konnten die Schulauf- 
gaben nicht erledigen, weil wir den ein- 
zigen Computer, den wir besitzen, für un- 
sere Tätigkeit im Homeoffice brauchten.“ 

Eine von vielen Entschuldigungen, 
warum einige Kinder während des 
Lockdowns die gestellten Aufgaben 
nicht erledigten. Ob es sich hierbei 
um eine Ausrede oder die Wahrheit 
handelt, spielt keine Rolle. Es zeigt, 
dass es durchaus üblich ist, dass Kin- 
der keine eigenen Computer haben. Es 
zeigt auch, dass es in Familien durch- 
aus nur einen Computer gibt, der von 
allen Familienmitgliedern genutzt 
wird. Auch das Smartphone der Eltern 
durfte in vielen Familien während des 
Lockdowns für die Schulaufgaben ge- 
nutzt werden. Ob hier wirklich alle 
von der Arbeitgeberin vorgegebenen, 
für die Einhaltung des Datenschutzes 
erforderlichen, technischen und orga- 
nisatorischen Maßnahmen umgesetzt 
wurden, bleibt fraglich. 

Wie sieht das mit der Datenschutz- 
Risikobewertung aus, wenn die ganze 
Familie Zugriff auf die Geräte hat, mit 
Hilfe derer der geschäftlichen Tätigkeit 
nachgegangen wird? 

BYOD birgt bei IT-Geräten und Smart- 
phones immer die Schwierigkeit der 
gemischten Privat- und Geschäftsnut- 
zung. Bei Smartphones kennt dadurch 
darüber hinaus die Arbeitgeberin die 
private Telefonnummer. Die Gefahr, dass 
die Arbeitgeberin das ausnutzt und au- 
ßerhalb der Arbeitszeiten oder während 


des Erholungsurlaubs anruft, besteht. 
Erfahren Kunden die Nummer, besteht 
auch die Gefahr, dass diese außerhalb 
der Arbeitszeiten anrufen. 

Die Prüfung, inwieweit BYOD in 
Deutschland überhaupt in Ordnung ist, 
bleibt den Juristen überlassen. Sollten 
nicht eigentlich die für die Ausführung 
der Tätigkeit notwendigen Arbeitsmit- 
tel von der jeweiligen Arbeitgeberin zur 
Verfügung gestellt oder die Kosten da- 
für übernommen werden? 


Fazit 


Die Corona-Pandemie hat gezeigt, 
dass eine plötzliche Auslagerung der 
Beschäftigten in Heimarbeit, ohne die 
notwendigen technischen und organi- 
satorischen Maßnahmen dafür genau 
zu durchdenken und Datenschutz-Ri- 
siken unbeachtet zu lassen, keine gute 
Idee ist. Darüber hinaus auch noch auf 
die Schnelle BYOD einzuführen führt 
ins Chaos. 

Sollen die Beschäftigten im selbstver- 
walteten HomeOffice in der Nähe ihres 
Wohnortes arbeiten stattin einem festen 
Büro in einer Firma, so ist es ratsam, hier 
vertraglich Regelungen zur Kontrolle 
durch Vertretende des Unternehmens 
sowie dessen Datenschutzbeauftragten 
zu finden, genauso wie den Besuch von 
Betriebsprüfern, Kunden, Auszubilden- 
den und Kollegen vertraglich zu regeln. 

Der Dienstort ist entscheidend fürvie- 
le rechtliche Bestimmungen. Inwieweit 
hier auch die Datenschutz-Gesetze und 
-Vorschriften, die am Dienstort gelten, 
zu berücksichtigen sind ist im Einzelfall 
zu prüfen. 

Personenbezogene Datenverarbeitung 
in Heimarbeit oder gar in einem Work- 
from-Anywhere-Konzept ausführen zu 
lassen sollte wohl durchdacht sein. 

Die Nutzung privater Geräte für dienst- 
liche Tätigkeiten ist auch in Coronazei- 
ten mit äußerster Vorsicht genauestens 
zu überlegen. 

Egal wo außerhalb des Unternehmens 
und mit welchen Geräten gearbeitet 
wird, die Ausarbeitung und Umsetzung 
von technischen und orgnisatorischen 
Maßnahmen, die einen Datenabfluß 
eindämmen, sind unumgänglich. Mög- 
liche Datenschutz-Pannen und deren 
Risiken sollten von allen Seiten durch- 
leuchtet werden. 
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PimEyes & Gesichtserkennung in Europa 


Edit Policy: - wo bleibt der Aufschrei? 


Gesichtserkennung ist eine massive 
Gefahr für die Grundrechte, aber eine 
Debatte über ihren Einsatz gibt es in 
Deutschland und Europa nicht. Anders 
in den USA. 

Gesichtserkennung stellt eine erheb- 
liche Gefahr für unsere Grundrechte dar. 
Hierzulande muten Debatten über das 
Thema oft so an, als handele es sich da- 
bei um Zukunftsmusik - oder ein Prob- 
lem, dasin erster Linie Länder mit einem 
niedrigeren Datenschutzniveau wie die 
USA oder China betreffe. Dabei breitet 
sich die automatische Gesichtserken- 
nunginEuropaundauchin Deutschland 
rasant aus. Bundespolizei und Krimina- 
lämter setzen die Technologie bereits 
seit Jahren ein, Tendenz stark steigend. 
Die EU-Kommission investiert in unse- 
riöse Startups, die Gesichtserkennung 
an Europas Außengrenzen als Lügende- 
tektoren einsetzen wollen. Und ein pol- 
nisches Clearview-Klon bietet eine frei 
zugängliche Gesichter-Suchmaschine 
im Netz an. Wo bleibt der Aufschrei? 


Das Geschäft mit biometrischer 
Massenüberwachung 


In einer umfangreichen Recherche 
hat Netzpolitik kürzlich auf PimEyes 
aufmerksam gemacht, ein polnisches 
Gesichtserkennungs-Startup, das die 
anonyme Suche nach beliebigen Gesich- 
tern in einer Datenbank aus 900 Millio- 
nen, augenscheinlich aus öffentlichen 
Quellen stammenden, Bildern erlaubt. 
Auch Screenshots aus YouTube-Videos 
und Instagram-Fotos wurden von der 
Webseite gesammelt. 

Seit Netzpolitik begonnen hat, kriti- 
sche Fragen zu stellen, bewirbt die Firma 
ihre Dienste als Privatsphäre-Schutz, 
der ausschließlich die Suche nach ei- 
genen Fotos erlauben soll. Zuvor schlug 
die Firma Nutzer*innen noch explizit 
vor, fremde Bilder, etwa von Promi- 
nenten, zu suchen. Einen effektiven 
Schutz gibt es bis heute nicht, der ver- 
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hindern könnte, dass die Suchmaschi- 
ne für Stalking oder Überwachung von 
Mitarbeiter*innen missbraucht wird. 

Dass PimEyes nicht ausschließlich zur 
Suche nach dem eigenen Bild gedacht 
ist, zeigt sein Geschäftsmodell, basie- 
rend auf kostenpflichtigen Premium- 
Funktionen, die etwa ein Sonderange- 
bot für 100 Millionen Datenbankabfra- 
gen pro Monat enthalten. 

Der Datenschutzbeauftragte für Ba- 
den-Württemberg, Stefan Brink, geht 
davon aus, dass PimEyes gegen die Da- 
tenschutz-Grundverordnung verstößt. 
Da es sich bei biometrischen Daten um 
besonders schutzwürdige Informatio- 
nen handelt, hätte die Firma von jeder 
Person in ihrer Datenbank aus 900 Milli- 
onen Gesichtern eine Einwilligung ein- 
holen müssen. Dennoch ist es möglich, 
dass PimEyes schon heute von europä- 
ischen Behörden genutzt wird. Der Fir- 
ma ist nämlich der Coup gelungen, eine 
Kooperation mit dem schwedischen Un- 
ternehmen Safer Society einzugehen, 
das seinerseits PimEyes in seine Über- 
wachungssoftware Paliscope integriert 
hat, die es Behörden zur staatlichen 
Überwachung oder Strafverfolgung an- 
bietet. Auch die europäische Polizei- 
behörde Europol ist Kundin von Safer 
Society. 


EU-Kommission will Gesichtserken- 
nung nicht bekämpfen 


Als Kommissionspräsidentin Ursula 
von der Leyen ins Amt gewählt wurde, 
versprachen sich manche ein härteres 
Durchgreifen gegen Gesichtserken- 
nungs-Technologien. Von der Leyen 
versprach einen Gesetzesvorschlag zur 
Regulierung der „künstlichen Intel- 
ligenz” innerhalb von 100 Tagen (die 
inzwischen bereits verstrichen sind). 
Kern der europäischen KI-Regulierung 
sollten hohe ethische Standards sein, 
die das Vertrauen in die Technologie 
stärken und den Vorzug gegenüber rein 
wirtschaftlichen Erwägungen bekom- 
men sollten. 


Ein solcher Gesetzesvorschlag ist bis- 
lang ausgeblieben. Anfang des Jahres 
hat die EU-Kommission lediglich ein 
Strategiepapier zur künstlichen Intel- 
ligenz veröffentlicht. Eine Passage, die 
in einer früheren Entwurfsfassung ein 
zeitweises Verbot von Gesichtserken- 
nung im öffentlichen Raum vorschlug, 
wurde aus der Endfassung gestrichen. 


EU-Kommission investiert in KI- 
Lügendetektor 


Welche ethischen Standards die EU- 
Kommission tatsächlich an Gesichtser- 
kennung anlegt, sieht man derweil an 
ihren Förderprojekten: Aus dem EU-For- 
schungsfördertopf Horizon 2020 finan- 
ziert sie seit Jahren das Programm iBor- 
derCTRL. Hinter dem Programm mit dem 
dystopischen Namen steckt nichts ande- 
res als ein Lügendetektor, der Menschen 
bei Grenzübergängen mittels biometri- 
scher Daten vom Gesicht ablesen soll, ob 
sie in Verhören die Wahrheit sagen. 

Dass Lügendetektoren auf Pseudo- 
wissenschaft basieren und Gesichts- 
erkennungstechnik insbesondere bei 
nicht-weißen Menschen erhebliche 
Fehlerquoten aufweist, hat die EU nicht 
davon abgehalten, das Programm an 
den EU-Außengrenzen zu testen, wo- 
raufhin Journalist*innen von The In- 
tercept prompt solche Fehler durch iBor- 
derCTRL nachweisen konnten. Dem EU- 
Abgeordneten Patrick Breyer verweigert 
die EU-Kommission Informationen über 
die grundrechtliche Evaluation und die 
Fehlerraten von iBorderCTRL. 


Gesichtserkennung auch in Deutschland 


Auch deutsche Behörden setzen 
vermehrt Gesichtserkennung ein. Die 
Anzahl der Abfragen von Gesichtserken- 
nungsdatenbanken durch Bundespolizei 
und Kriminalämter nimmt rasant zu. 
Dennoch ist in Deutschland und Eu- 
ropa bislang eine breite gesellschaft- 
liche Debatte darüber ausgeblieben, 
wie die immer weitere Verbreitung von 
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Gesichtserkennung im Alltag nicht nur 
zu falschen Verdächtigungen beitragen 
kann, sondern auch unser Verhalten im 
öffentlichen Raum beeinflusst. 

Das Gefühl, unter ständiger Beobach- 
tung zu stehen, löst Stress aus und führt 
zu einem angepassten Verhalten. Wer 
befürchten muss, dass bei einer Teilnah- 
me an Demonstrationen Gesichter ab- 
fotografiert und von der Polizei - oder 
sogar von Neonazis - mittels Gesichtser- 
kennung zur Enttarnung von Demons- 
trierenden genutzt werden, wird sich 
zweimal überlegen, ob die Wahrneh- 
mung des Grundrechts auf Versamm- 
lungsfreiheit das Risiko wert ist. 

Das ist keine rein theoretische Gefahr: 
Bei den G20-Protesten in Hamburg hat 
die Polizei eine umfangreiche Daten- 
bank zur automatischen Gesichtserken- 
nung angelegt. Bei Tests der Software 
PimEyes durch das Investigativteam von 
Netzpolitik fand dieses unter anderem 
auch Fotos der Bundestagsabgeordne- 
ten Anke Domscheit-Berg bei der Teil- 
nahme an einer Anti-Überwachungs- 
Demo. Das Missbrauchspotential von 
immer größeren, verdachtsunabhängi- 
gen Datensammlungen, die sowohl von 
Behörden als auch von Unternehmen 
zur Gesichtserkennung genutzt werden, 
ist also erheblich. 


Aufstand gegen Gesichtserkennung 
in den USA 


In den USA ist der Einsatz von Ge- 
sichtserkennung zwar bereits weiter 
fortgeschritten als in Europa. So setzen 
Strafverfolgungsbehörden die Gesichts- 
erkennungs-Datenbank des umstrittenen 
Unternehmens Clearview AI ein. Doch 
auch der Widerstand aus Zivilgesell- 
schaft und Wissenschaft ist deutlich 
lauter - und zeigt erste Ergebnisse. 

Studien über die diskriminierende 
Wirkung von Gesichtserkennung, die 
bei den Gesichtern von Frauen und 
nicht-weißen Personen sehr viel höhere 
Fehlerraten produziert als bei weißen 
Männern, haben die Technologie in Ver- 
ruf gebracht. Pionierarbeit hat hierbei 
die Wissenschaftlerin Joy Buolamwini 
geleistet, deren Studie „Gender Shades” 
das Phänomen bereits 2018 nachgewie- 
sen hat und deren Ergebnisse seitdem 
mehrfach von renommierten Wissen- 
schaftseinrichtungen reproduziert 
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wurden. Buolamwini gründete die Algo- 
rithmic Justice League, eine zivilgesell- 
schaftliche Initiative gegen den Einsatz 
diskriminierender Technologien. Als es 
dann tatsächlich zur falschen Festnah- 
me des Afroamerikaners Robert Williams 
durch Fehler bei der Gesichtserkennung 
kam, war das Problem durch die Vorar- 
beit von Wissenschaft und Zivilgesell- 
schaft der Presse bereits bekannt. Der 
Fall machte landesweit Schlagzeilen. 
Auch der Talkshow-Host John Oliver hat 
die Gefahren von Gesichtserkennung in 
einem Video aufgegriffen, das allein auf 
YouTube bereits sieben Millionen Mal 
gesehen wurde. 


Der Aufstand lohnt sich 


Die Kampagne gegen Gesichtserken- 
nung in den USA hat bereits eine Rei- 
he von Erfolgen vorzuweisen. Mehrere 
Städte, darunter San Francisco und 
Oakland, haben die Gesichtserkennung 
im Öffentlichen Raum verboten. Der 
Bundesstaat Massachusetts berät das 


Verbot, das mehrere Gemeinden dort 
bereits beschlossen haben, auf den ge- 
samten Staat auszuweiten. Infolge der 
Black Lives Matter-Proteste, die Ras- 
sismus und Polizeigewalt in den Fokus 
genommen haben, entzogen Microsoft, 
Amazon und IBM der US-Polizei (zumin- 
dest vorübergehend) den Zugang zu ih- 
ren Gesichtserkennungs-Tools. 

Dieses Engagement brauchen wir auch 
in Deutschland und Europa, um der ra- 
santen Ausbreitung und Normalisierung 
von Gesichtserkennung etwas entge- 
genzusetzen. In der Initiative Gesichts- 
erkennung Stoppen! haben sich unter 
anderem der Chaos Computer Club, D64 - 
Zentrum für digitalen Fortschritt (dessen 
Beiratich angehöre) und Digitale Gesell- 
schaft e.V. zusammengeschlossen, um 
ein Verbot von Gesichtserkennung im 
öffentlichen Raum und dessen Einsatz 
durch den Staat zu erreichen. 


Die Texte der Kolumne “Edit Policy” ste- 
hen unter der Lizenz CC BY 4.0., hier 
übernommen von heise-online. 


Bild: iStock 


DANA « Datenschutz Nachrichten 3/2020 


Friedemann Ebelt 


Fingerabdrücke im Personalausweis - was tun? 


#PersoOhnefFinger 


Ab 2. August 2021 wird die Speiche- 
rung von Fingerabdrücken auf Personal- 
ausweisen zum Zwang: Trotz Kritik von 
Datenschutz- und Grundrechteorgani- 
sationen haben die Regierungen der 
EU-Länder und eine knappe Mehrheit im 
EU-Parlament 2019 eine Verordnung zur 
Erhöhung der Sicherheit der Personal- 
ausweise und der Aufenthaltsdokumen- 
te beschlossen. Ein deutsches Gesetz zur 
Umsetzung ist bereits in Arbeit. Dieses 
zwingt ab 2. August 2021 anlasslos alle 
Menschen, einen Abdruck ihres linken 
und rechten Zeigefingers abzugeben. 
So werden Millionen rechtskonformer 
Menschen behandelt wie Tatverdächti- 
ge. Wir halten das für undemokratisch 
und raten: 

Alle Menschen, die einen Personal- 
ausweis ohne Fingerabdrücke wollen, 
sollten bis zum Beginn der Speicher- 
pflicht einen Personalausweis ohne Fin- 
gerabdrücke beantragen. Bitte werdet 
auch politisch gegen das Gesetz aktiv! 
Mehr dazu unter: Jetzt aktiv werden. 
#Perso0hneFinger 


Angriff auf die Würde des Menschen 


Digitalcourage sieht mit dieser Ver- 
ordnung die Würde aller betroffenen 
Menschen angegriffen und bewertet 
das Gesetz als grundrechtswidrig. Die 
zwangsweise und anlasslose Abgabe von 
biometrischen Daten entspricht nicht 
den Werten von Rechtsstaaten und De- 
mokratien, sondern der Kontrollsucht 
von Polizeistaaten. 


Die Rechtslage 


In Deutschland war die Abgabe von 
Fingerabdrücken für den Personalaus- 
weis bislang freiwillig. (Verpflichtend 
ist die Abgabe aber bereits für Reisepäs- 
se.) Bürgerinnen und Bürger können 
derzeit noch wählen, ob ihr neuer Per- 
sonalausweis Fingerabdrücke enthalten 
soll oder nicht. In der Praxis werden die 
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Menschen aber häufig nicht über die 
Freiwilligkeit und die Konsequenzen 
der Fingerabdrücke aufgeklärt. Viele 
Menschen werden im Moment der An- 
tragstellung kurzerhand zur Abgabe ih- 
rer Fingerabdrücke verleitet. 

Ab 2. August 2021 wird die freiwilli- 
ge Abgabe zum Zwang: Ab dann werden 
die Fingerabdrücke lokal auf einem Chip 
in den Personalausweisen gespeichert. 
Die EU-Verordnung 2019/1157, die die 
Fingerabdruckpflicht enthält, wurde 
2019 mit Stimmen aus Deutschland be- 
schlossen. Mit dem Gesetz zur Stärkung 
der Sicherheit im Pass-, Ausweis- und 
ausländerrechtlichen Dokumentenwe- 
sen (siehe auf bmi.bund.de) wird das 
deutsche Personalausweisgesetz ent- 
sprechend angepasst. Wer derzeit einen 
gültigen Personalausweis besitzt, kann 
diesen bis zum Ablauf der angegebenen 
Gültigkeit nutzen - es besteht keine 
Pflicht, ab dem 2. August 2021 einen 
Ausweis mit Fingerabdrücken zu bean- 
tragen. Wir empfehlen deshalb, vor dem 
2. August 2021 einen Personalausweis 
ohne Fingerabdrücke zu beantragen, 
um diesen 10 Jahre nutzen zu können, 
mehr unter: aktiv werden. 

Hinweis: Wenn aufgrund von Abnut- 
zung der Fingerkuppen oder Verletzun- 
gen keine Abdrücke genommen werden 
können, werden für 12 Monate Perso- 
nalausweise ohne Fingerabdrücke aus- 
gestellt: 

Das Thema steht für den 10. Septem- 
ber 2020 auf der Tagesordnung des Bun- 
destags, siehe bundestag.de. Das kann 
sich allerdings kurzfristig ändern. 

„Artikel 4: (3) Die Mitgliedstaaten 
stellen einen Personalausweis mit einer 


Gültigkeitsdauer von zwölf Monaten oder 
weniger aus, wenn vorübergehend aus 
physischen Gründen von keinem der Fin- 
ger Fingerabdrücke genommen werden 
können. (siehe Seite 8 der Verordnung 
auf eur-lex.europa.eu)”“ 

Gut zu wissen: Zuständig für Fragen 
zum Personalausweis ist der Bürger- 
service des Bundesinnenministeriums 
personalausweisportal.de: 

Die telefonische Servicehotline ist 
von 08:00-16:30 Uhr erreichbar. 

Gebühren: 3,9 ct/Min. aus dem deut- 
schen Festnetz, aus dem Mobilfunknetz 
max. 42 ct/Min., auch aus dem Ausland 
erreichbar, Telefon: 0180-1-33 33 33 
E-Mail: eID_buergerservice@bmi.bund. 
de 


Warum Fingerabdrücke ein Problem 
sind 


Die Pflicht zur Abgabe von Fingerab- 
drücken ist aus unserer Sicht ein Fehler, 
weil sie politische, technische, grund- 
rechtliche und ethische Gefahren ent- 
hält, aber keine Probleme löst. 

« Lebenslange Kontrolle: Ein Fingerab- 
druck ist ein biometrisches Merkmal, 
welches einen Menschen ein Leben 
lang kontrollierbar macht. Menschen 
können, wenn es sein muss, Namen 
und Wohnort wechseln, um sich bei- 
spielsweise vor Verfolgung oder Be- 
drohung zu schützen. Biometrische 
Daten wie Fingerabdrücke erlauben 
das nicht. 

Übergriff statt Schutz: Die anlass- 
lose und massenhafte biometrische 
Erfassung von Fingerabdrücken ist 
ein nutzloser und gefährlicher Über- 
griff des Staats auf die Bevölkerung. 
Demokratien und Rechtsstaaten ha- 
ben die Aufgabe, Bürgerinnen und 
Bürger vor derartigen Übergriffen zu 
schützen. 

Freiheit wird schrittweise abge- 
schafft: Überwachungs- und Kontroll- 
maßnahmen werden stets erweitert 


177 


und verschärft, aber so gut wie nie zu- 
rückgefahren. Ohne politischen Kurs- 
wechsel werden in Zukunft immer 
mehr Arten sensibler Biometriedaten 
millionenfach erhoben, gespeichert 
und für alle möglichen Zwecke ge- 
nutzt. 

Risiko Zugriffserweiterung: In 
Deutschland dürfen Polizei und Ge- 
heimdienste seit 2017 automatisch 
auf biometrische Passbilder von Per- 
sonalausweisen zugreifen. Dabei gibt 
es wenig Kontrolle durch Aufsichtsbe- 
hörden. Eine Ausweitung der Zugriffs- 
möglichkeiten auf die Fingerabdrücke 
scheint nur eine Frage der Zeit. 
Kontrollverlust durch Drittstaaten: 
Durch „weltweite Interoperabilität - 
auch bei der Maschinenlesbarkeit und 
der Sichtprüfung” (Erwägungsgrund 
Nr. 23) können die biometrischen Da- 
ten auch an Behörden in Staaten, in 
denen Freiheitsrechte nicht geschützt 
sind, gelangen. Spätestens hier gibt 
es keine Kontrolle darüber, wohin die 
biometrischen Daten der Bürgerinnen 
und Bürger gelangen. 

Kontrollverlust durch Unternehmen: 
Bei „Zusammenarbeit mit einem ex- 
ternen Dienstleistungsanbieter” (Er- 
wägungsgrund Nr. 42) können auch 
private Unternehmen Zugriff auf die 
Daten erhalten, siehe auch Artikel 11 
„Schutz personenbezogener Daten 
und Haftung”. 

Kontrollverlust durch Geheimdienste: 
Nach den Enthüllungen von Edward 
Snowden haben es die Regierungen 
der EU-Länder versäumt, die Macht von 
Geheimdiensten wirksam einzuschrän- 
ken. Im NSU-Skandal hat der mit einem 
BigBrotherAward für sein Lebenswerk 
ausgezeichnete sogenannte deutsche 
„Verfassungsschutz” die Aufklärung 
von Terror behindert. Geheimdienste 
arbeiten unkontrolliert und grund- 
rechtefeindlich. Es muss davon ausge- 
gangen werden, dass Geheimdienste 
sich unkontrolliert Zugriff auf die bio- 
metrischen Daten der EU-Bürgerinnen 
und -Bürger verschaffen werden. 

Risiko Datenvernetzung: Bereits jetzt 
arbeiten „Sicherheits”-Politiker.in- 
nen an einer vernetzten, EU-weiten 
Datenbankstruktur mit Fingerabdrü- 
cken, Gesichtsbildern und anderen 
Biometriedaten, siehe netzpolitik.org 
vom 17. Juli 2020 und unseren Text zu 
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diesem Thema. Datenbanken von Ver- 
waltungen, Polizei, Geheimdiensten 
und Firmen wachsen ständig. (siehe 
Programme: Next Generation Prüm, 
Polizei 2020, Ausbau des Visa-Infor- 
mation-Systems oder des Schenge- 
ner-Informations-Systems SISII). 
Kinder betroffen: Laut EU-Verordnung 
werden Kinder ab 6 Jahren erfasst, wo- 
bei die einzelnen Regierungen der EU- 
Ländern die Möglichkeit haben, Kinder 
bis 12 Jahren von der Pflicht zur Abga- 
be von Fingerabdrücken zu befreien. 
Illegitim in Demokratien: Ralf Ben- 
drath erläutert in seinem Beitrag 
„Zur Geschichte der Fingerabdrücke 
in Ausweisen“: „Ausweise gehen in 
Deutschland auf die von den Nazis 
ab 1938 eingeführte „Kennkarte” 
zurück, deren Mitführen für Juden 
zwingend war. (...) In Spanien wurde 
die Erfassung von Fingerabdrücken 
für die nationale Identitätskarte, 
die bis heute gilt, 1940 während der 
Franco-Diktatur eingeführt. Was nun 
allen BürgerInnen aufgenötigt wird, 
steht also ganz klar in der Tradition 
verbrecherischer Regime.” In Frank- 
reich nutzte das Vichy-Regime ab 
1942 den Eintrag Jude auf Auswei- 
sen für die Deportation von 76.000 
Menschen im Holocaust (mehr dazu 
auf lto.de vom 22.7.2018: 80 Jahre 
Ausweispflicht: Wie ein Nazi-Minis- 
ter den Überwachungsstaat durch- 
setzte). 

Datensicherheit: Die Daten der ge- 
speicherten Fingerabdrücke auf den 
neuen Personalausweisen können 
kontaktlos ausgelesen werden. Ein 
Speichermedium, das heute nicht 
geknackt werden kann, kann mög- 
licherweise in 10 Jahren geknackt 
werden. 


Schon lange träumen vermeintliche 
Sicherheitspolitiker.innen in der EU von 
einer biometrischen Superdatenbank, 
wir informieren über die Pläne. 


Jetzt aktiv werden! 


Juristisches Vorgehen gegen die EU- 
Fingerabdruckpflicht ist aufgrund der 
geltenden Klagebefugnisse auf europä- 
ischer Ebene schwierig. Aber: Es kann 
einiges gegen das deutsche Umset- 
zungsgesetz getan werden, das ver- 


mutlich im Herbst 2020 im Bundestag 
diskutiert wird. 

Wir raten allen Menschen, die einen 
Personalausweis ohne Fingerabdrücke 
wollen, bis zum Beginn der Speicher- 
pflicht ein fingerabdruckfreies Doku- 
ment zu beantragen. 

Aber: Neue Personalausweise gelten 
maximal 10 Jahre. Darum ist es notwen- 
dig auch politisch aktiv zu werden und 
die Gesetze auf EU- und Bundesebene 
dauerhaft zu ändern. Dazu gibt es fol- 
gende Möglichkeiten: 


1. Schreibe deine Bundestagsab- 
geordneten an und erkläre deine Kri- 
tik an der Pflicht für Fingerabdrücke in 
den neuen Personalausweisen. Fordere 
zum Beispiel, dass sie sich gegen das 
deutsche Umsetzungsgesetz ausspre- 
chen und dagegen stimmen. Die Pflicht 
steckt im Entwurf des Gesetzes zur 
Stärkung der Sicherheit im Pass-, Aus- 
weis- und ausländerrechtlichen Doku- 
mentenwesen, siehe auf bmi.bund.de. 
Derzeit steht das Thema für den 10. Sep- 
tember 2020 auf der Tagesordnung im 
Bundestag. Auf bundestag.de ist eine, 
nach Bundesland, PLZ und Wahlkreis 
sortierbare, Liste mit Kontakten der Ab- 
geordneten. 

Wichtig zu wissen: Weil die Grundlage 
für die Fingerabdruck-Pflicht eine EU- 
Verordnung ist, an die die deutschen 
Gesetze nur angepasst werden, ist es 
leider unwahrscheinlich, dass der Bun- 
destag den Mut aufbringen wird, den 
Kurs zu ändern. Trotzdem muss unserer 
Ansicht nach dieses Gesetz auf laute 
Kritik und breite Ablehnung aus der Be- 
völkerung treffen. 

Primär sind die Regierungen der EU- 
Länder und die Abgeordneten im EU- 
Parlament verantwortlich. Wer 2019 
wie abstimmt hat, haben wir in der 
Info-Box verlinkt. Eine durchsuchba- 
re Übersicht aller deutschen EU-Abge- 
ordneten gibt es auf auf der Website 
des EU-Parlaments, auch sortiert nach 
Bundesländern. 


2. Hilf, diese Informationen zu ver- 
breiten, via E-Mail, Websiten, Messen- 
ger-Gruppen und in Sozialen Medien: 
#Perso0hneFinger 


3. Wähle keine Überwachungs- 
parteien. 
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Eine Bitte: Teile uns gern mit, 
was du getan und welche Reaktio- 
nen du bekommen hast. E-Mail an: 
mail+persoohnefinger@digitalcourage. 
de oder im Fediverse oder auf Twitter: 
#Perso0OhneFinger 


Hintergrund: Es geht nicht um 
Sicherheit 


Begründet wurde die Verordnung (EU) 
2019/1157 mit Sicherheit, „insbeson- 
dere im Zusammenhang mit Terrorismus 
und grenzüberschreitender Kriminalität.” 
(siehe Erwägung Nr. 6). Aus Sicherheits- 
gründen soll die Pflicht zur Abgabe von 
Fingerabdrücken die Personalausweise 
fälschungssicherer machen. 

Allerdings ist aufgrund der techni- 
schen Verbesserung der Merkmale die 
Zahl von gefälschten Dokumenten stark 
rückläufig, so die EU-Grenzagentur 
Frontex, (siehe PDF auf frontex.europa. 
eu S. 22). Der Nutzen der Verordnung zur 
Verhinderung von Terrorismus ist nicht 
nachgewiesen. Die Untersuchungen der 
NSU-Morde und des Terroranschlags von 
Anis Amri haben ergeben, dass die Täter 
behördlich bekannt waren. Fehlende 
Daten, fehlende Überwachungs- und 
Identifizierungsmöglichkeiten waren 
nicht das Problem für die Ermittlungs- 
behörden. Erläutert hat das Sascha Lobo 
in dem Text Klare Zahlen gegen Massen- 
überwachung auf.netzpolitik.org. 

Die millionenfache Abgabe von Fin- 
gerabdrücken von rechtstreuen Bürge- 
rinnen und Bürgern ist nicht nötig und 
nicht verhältnismäßig. 

Unserer Einschätzung nach handelt es 
sich bei der Verordnung (EU) 2019/1157 
um Sicherheitstheater zum Nachteil der 
Bevölkerung. 

Eine Politik, die Freiheit angreift und 
scheibchenweise verhökert, verdient 
nicht „Sicherheitspolitik” genannt zu 
werden. ... Wir brauchen echte Sicher- 
heitspolitik, die uns auch wirklich siche- 
rer macht, anstatt uns zu bedrohen (mehr 
zu Sicherheitstheater bei Digitalcourage). 

Die Bundesregierung hat 2019 im Rat 
der Europäischen Union für Fingerab- 
druckpflicht gestimmt. Die Regierun- 
gen der Slowakei und Tschechien haben 
gegen die Verordnung gestimmt. Letz- 
tere hat die verpflichtende Abgabe für 
alle Menschen als unverhältnismäßig 
bewertet, siehe votewatch.eu. 
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Ergänzung vom 4. August 2020: Wer 
rechtzeitig einen Personalausweis ohne 
Fingerabdrücke beantragen möchte, 
sollte beachten, dass es bei Bürgeräm- 
tern/Bürgerservices durchaus mehr als 
sechs Wochen dauern kann, um einen 
Termin zur Beantragung eines #PersoOh- 
neFinger zu bekommen. Also: rechtzeitig 
kümmern! Und: Wer einen noch länger 
gültigen Personalausweis besitzt, kann 
einen neuen nur beantragen, wenn der 
alte beschädigt oder verloren ist; bezie- 
hungsweise mit berechtigtem Interesse 
nach Personalausweisgesetz 86 (2), sie- 
he gesetze-im-internet.de, eine Seite 
des Justizministeriums. 


Ergänzung vom 7. August 2020: Als 
Reaktion auf #Perso0OhnefFinger schrei- 
ben uns Menschen, dass Bürgerämter 
seit Jahren auf die Abgabe von Fingerab- 
drücken bestehen, obwohl das noch bis 
2. August 2021 freiwillig ist! Wir raten: 


Klarstellung: 


1. schriftlich beim Bürgeramt beschwe- 
ren 

2. schriftlich beim Bürgerservice des 
Bundesinnenministeriums beschwe- 
ren: eID_buergerservice@bmi.bund. 
de 

3. einen Personalausweis ohne Finger- 
abdrücke (kurz: #Perso0hnefFinger) 
beantragen 

4. diesen Artikel via E-Mail, E-Mailing- 
listen oder in sozialen Medien ver- 
breiten, Tweet / Trötteilen 


Uns interessieren die Reaktionen und 
AntwortenvonBehörden.GernE-Mailan: 
mail+persoohnefinger@digitalcourage. 
de oder #PersoOhnefFinger im Fediverse 
oder auf Twitter. 


Auch (ggf. aktualisiert) zu finden unter: 
https://digitalcourage.de/blog/2020/ 
keine-fingerabdruecke-personalausweis- 
persoohnefinger 


Für Betriebsärzte gilt das Patientengeheimnis 


In der DANA 1/2020 wurde aufS. 37 die Pressemitteilung des „Arbeitsbünd- 
nisses gegen Datenmissbrauch in der Medizin“ vom 01.12.2019 veröffentlicht, 
wonach ein Verband der Betriebsärzte, die Deutsche Gesellschaft für Arbeits- 
medizin und Umweltmedizin (DGAUM) die Regierung aufgefordert habe „Ein- 
blick in die Gesundheitscloud” zu geben. Tatsächlich forderte DGAUM erneut 
in einer Presseerklärung vom 19.05.2020 anlässlich ihrer Stellungnahme zum 
Entwurf eines Patientendaten-Schutzgesetzes (PDSG): „Die medizinische Ver- 
sorgung durch Betriebsärzte ist ohne deren Zugang zur elektronischen Pati- 
entenakte nicht möglich”. Falsch ist die Behauptung der Pressemitteilung des 
Arbeitsbündnisses: „Damit werden Einstellungs- und Weiterbeschäftigungs- 
untersuchungen zum ‚Kinderspiel’ - der Arbeitgeber kann alle Krankheiten 
des Arbeitnehmers lückenlos erfahren.“ Den Betriebsärzten geht es darum, 
die „Schnittstelle zwischen arbeitsmedizinischer und vertragsärztlicher Ver- 
sorgung” zu verbessern. Dies bedeutet jedoch nicht, dass damit die ärztliche 
Schweigepflicht aufgehoben werden soll. Auch der (betriebs-Järztliche Zu- 
griff auf die Daten der elektronischen Patientenakte setzt die Zustimmung 
des Patienten voraus. Völlig falsch ist die Aussage des Arbeitsbündnisses, 
dass mit einem Zugriff der Betriebsärzte die Arbeitgeber „alle Krankheiten des 
Arbeitnehmers lückenlos erfahren” könne. Der Betriebsarzt unterliegt auch 
gegenüber dem Arbeitgeber der ärztlichen Schweigepflicht. Hieran soll sich 


gesetzlich auch nichts ändern. 


Die DANA-Redaktion veröffentlicht natürlich Presseerklärungen unverän- 
dert. Falschbehauptungen sind den Autoren zuzuschreiben. Es mag nötig 


sein, diese künftig zu kommentieren. 


Die DANA-Redaktion 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Gesundheitsminister be- 
schließen Reise-Corona- 
Tests und Testpflicht 


Die Gesundheitsminister von Bund 
und Ländern haben am 24.07.2020 
in Bonn Corona-Testzentren an allen 
deutschen Flughäfen beschlossen. Die 
Kosten für diese Tests sollen übernom- 
men werden. Wer aus einem Risikoge- 
biet nach Deutschland zurückreist, soll 
sich künftig am Flughafen freiwillig 
kostenlos testen lassen können. Sonst 
gilt ohne negativen Befund weiterhin 
Quarantänepflicht. Beschlossen wurden 
folgende Kernpunkte: 

« In allen deutschen Flughäfen mit re- 
levantem Reiseverkehr werden Test- 
stellen eingerichtet. 

« Die Bundespolizei weist Reisende aus 
Risikogebieten auf die Teststellen 
hin. 

e Auch Rückreisende aus Nichtrisiko- 
ländern können sich außerhalb der 
Flughäfen testen lassen. 

« Die Kosten für sämtliche Tests für 
Rückreisende sollen durch die Kran- 
kenkassen und die Bundesländer 
übernommen werden. 


Weiterhin blieben die Beschlüsse be- 
stehen, dass Menschen, die aus Risiko- 
ländern einreisen, zu einer 14-tägigen 
Quarantäne verpflichtet sind und die 
Quarantäne nur mit einem negativen 
Testbefund beendet werden kann. 

Die Gesundheitsminister stellten 
fest, dass Infektionsketten „in beacht- 
licher Anzahl auf Reiserückkehrende 
zurückzuführen” sind, so die Berliner 
Gesundheitssenatorin Dilek Kalayci 
(SPD). Die Nationale Teststrategie wer- 
de deshalb so ergänzt, dass sich alle 
Reiserückkehrer binnen drei Tagen 
nach Einreise testen lassen können. 
Für Einreisende aus Risikogebieten 
sollen die Tests direkt an den Flughäfen 
angeboten werden. 


180 


Vor dem Treffen hatten sich Sachsens 
Ministerpräsident Michael Kretschmer 
(CDU) und Bayerns Ministerpräsident 
Markus Söder (CSU) für verpflichtende 
Tests stark gemacht, konnten sich da- 
mit aber nicht durchsetzen. Anlass für 
Diskussionen hatten Partys auf Mallorca 
gegeben, bei denen Urlauber weder Mas- 
ken trugen noch Abstand hielten. Das 
Robert-Koch-Institut (RKI) hat weltweit 
mehr als 100 Staaten als Gebiete einge- 
stuft, in denen ein erhöhtes Risiko für 
eine Infektion mit dem Coronavirus be- 
steht, dazu gehören derzeit unter ande- 
rem die Reiseländer Ägypten, Israel, die 
Türkei, Südafrika und die USA. 

Schleswig-Holsteins Bildungsminis- 
terin Karin Prien hatte zuvor Lehrer vor 
Auslandsreisen in Risikogebiete ge- 
warnt. Wenn sie anschließend in Qua- 
rantäne müssten und deshalb den Schul- 
start verpassten, werde dies als unbe- 
rechtigtes Fernbleiben betrachtet. In der 
Folge würden Dienstbezüge einbehalten, 
tariflich Beschäftigten drohe zudem eine 
Abmahnung. Schüler und deren Eltern 
mahnte sie, mit Reisen in Risikogebiete 
unter Umständen eine Ordnungswidrig- 
keit zu begehen, „die mit einer Geldbuße 
geahndet werden kann“. 

Schon seit Ende Juni, Anfang Juli 2020 
waren an einigen deutschen Flughäfen 
Testzentren für Reisende eingerichtet 
worden. Das sind teils privatwirtschaft- 
liche Kooperationen wie etwa am Frank- 
furter Flughafen, wo das Unternehmen 
Centogene zusammen mit Betreiber Fra- 
port und der Lufthansa ein kommerziel- 
les Testzentrum anbietet. Am Flughafen 
Köln-Bonn sind die Johanniter im Auftrag 
der Stadt Köln mit einem mobilen Test- 
zentrum für freiwillige Tests präsent. Die 
Arbeitsgemeinschaft Deutscher Verkehrs- 
flughäfen betonte, dass die Mitarbeiter 
der Flughäfen nicht befugt sind, Passa- 
giere aufihren Gesundheitsstatus hin zu 
überprüfen. In jedem Fall gilt: Sollten die 
Gesundheitsbehörden einen Schnelltest 
anordnen, müsste dieser von den Behör- 
den selbst durchgeführt werden. 


Am Frankfurter Flughafen hatten die 
Tests zunächst je nach Wartezeit 59 Euro 
beziehungsweise 139 Euro gekostet, in 
München 190 Euro. Viele dieser Tests 
wurden für Reisende durchgeführt, die 
von diesen Flughäfen abfliegen, um zu 
verhindern, dass sie sich am Zielin Qua- 
rantäne begeben müssen. Manche Air- 
lines ließen nur Passagiere an Bord, die 
einen negativen Test vorlegen konnten. 

Peter Bauer von Centogene erklärte 
Ende Juli: „Wir haben vom Start weg fest- 
gestellt, dass es einen hohen Bedarfgibt. 
Aktuell sind es über tausend Menschen, 
dietäglich unser Angebot am Frankfurter 
Flughafen nutzen.” Auf steigende Passa- 
gierzahlen sei man vorbereitet. „Mit un- 
seren Laborkapazitäten vor Ort sind bis 
zu 12.000 Proben täglich analysierbar.” 
Bislang bewegte sich der Anteil der posi- 
tiven Corona-Tests am Frankfurter Flug- 
hafen im „mittleren Promillebereich“. 
An den Standorten hatte es zuvor jeweils 
Verhandlungen zwischen Testanbietern, 
Flughafenbetreibern und Gesundheits- 
behörden über die Einrichtung der Test- 
zentren gegeben. 

Nicht nur für Flugreisende aus dem 
Ausland, sondern auch für den grenz- 
überschreitenden Verkehr mit Schiff, 
Bus und Bahn wurden gemäß Senatorin 
Kalayci Aussteigekarten eingeführt. Wer 
aus einem Risikogebiet nach Deutsch- 
land kommt, muss ein solches Formular 
ausfüllen und abgeben. Außerdem ver- 
ständigten sich die Gesundheitsminis- 
ter darauf, dass „in grenznahen Einrei- 
sepunkten“ des Straßenverkehrs „stich- 
probenartige Kontrollen“ durchgeführt 
werden. Wenn dabeiherauskomme, dass 
jemand aus einem Corona-Risikogebiet 
komme, werde er auf die Quarantänep- 
flicht hingewiesen. 

Direkt darauf kündigte Gesundheits- 
minister Jens Spahn (CDU) eine Ver- 
ordnung auf Grundlage des Infektions- 
schutzgesetzes an, wonach Einreisende 
aus Corona-Risikogebieten verpflichtet 
werden, sich auf das Virus testen zu 
lassen: „Wir müssen verhindern, dass 
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Reiserückkehrer unbemerkt andere an- 
stecken und so neue Infektionsketten 
auslösen. Das dient dem Schutz aller 
Bürgerinnen und Bürger.” Zuvor waren 
die Rufe nach einer Testpflicht immer 
lauter geworden. So hatte z.B. Bayerns 
Ministerpräsident Markus Söder (CSU) 
eine entsprechende Regelung gefor- 
dert und sich zugleich dafür ausge- 
sprochen, die Risikogebiete noch ein- 
mal neu zu überprüfen. Die Pflichttests 
sind gemäß den Vorgaben des Bundes- 
gesundheitsministeriums kostenlos. 
Der nordrhein-westfälische Gesund- 
heitsminister Karl-Josef Laumann hat- 
te dagegen zuvor noch betont, die Kos- 
ten sollten „von denjenigen, die mein- 
ten, in Risikogebieten Urlaub machen 
zu müssen, selber getragen werden” 
(Stadler, Corona-Tests am Flughafen, 
SZ 23.07.2020, 6; Freiwillige Corona- 
Tests an allen Flughäfen, www.zdf.de 
24.07.2020; Spahn will Testpflicht ein- 
führen, SZ 28.07.2020, 1). 


Bund 


Flüchtlinge klagen gegen 
Smartphone-Auswertung 


Mehrere Flüchtlinge haben gegen die 
Auswertung ihrer Handydaten durch 
das Bundesamt für Migration und 
Flüchtlinge (BAMF) Klage erhoben. Die 
Behörde missachte die hohen verfas- 
sungsrechtlichen Vorgaben, an die der 
Staat beim Zugriff aufpersönliche Daten 
gebunden sei, meint die Gesellschaft für 
Freiheitsrechte (GFF), welche die Klagen 
unterstützt. Lea Beckmann von der GFF 
erläutert, die Auswertung der Handys 
durch das BAMF lasse „sehr umfassende 
Schlüsse über das Nutzungsverhalten 
eines Geflüchteten zu”. Das Amt erlan- 
ge Zugriff auf Kontakte, Rufnummern, 
Fotos, Apps, Adressen von Websites und 
E-Mail-Adressen. Geklagt gegen das 
Auslesen der Handydaten haben Flücht- 
linge aus Afghanistan, Kamerun und 
Syrien. Die Klagen wurden bei den Ver- 
waltungsgerichten in Berlin, Hannover 
und Stuttgart eingereicht. 

Die Kläger führen auch an, dass sich 
das Instrument als „untauglich” erwie- 
sen habe, da Handydaten aus techni- 
schen Gründen oftmals gar nicht aus- 
gelesen werden könnten. In einer Kla- 
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geschrift heiße es: „Anders als sonstige 
Beweismittel in Gerichtsverfahren kann 
die Qualität und Zuverlässigkeit der Da- 
tenträgerauswertung überhaupt nicht 
überprüft oder in Zweifel gezogen wer- 
den.” Seit 2017 darf das Bundesamt per 
Gesetz die Handys von Asylbewerbern 
auswerten, wenn der Flüchtling sich bei 
der Asylbehörde nicht ausweisen kann, 
etwa durch einen Reisepass oder ein an- 
deres Dokument. 

Das Bundesinnenministerium nann- 
te die Handy-Auswertung in diesen 
Fällen „die einzige oder jedenfalls eine 
wichtige Quelle für die Feststellung der 
Identität und Staatsangehörigkeit einer 
Person“. Durch enge Vorgaben werde die 
Verhältnismäßigkeit des Eingriffs in die 
Persönlichkeitsrechte des Asylsuchen- 
den gewahrt. Das BAMF hat eigenen 
Angaben zufolge zwischen Anfang 2019 
und Ende April 2020 rund 11.756 Da- 
tenträger von Asylantragstellern ausge- 
lesen und gespeichert. In gut 4.000 Fäl- 
len habe das Amt die Daten tatsächlich 
ausgewertet. In 60% der Fälle hätten 
sich „keine zusätzlichen Erkenntnis- 
se” ergeben, die für das Asylverfahren 
relevant seien. In 38% der Fälle hätten 
die ausgewerteten Daten die Angaben 
des Geflüchteten bestätigt. In nur zwei 
Prozent der Fälle hätten die Analysen 
die Aussagen der Asylbewerber wider- 
legt (Flüchtlinge klagen gegen Auswer- 
tung ihrer Handydaten, www.zeit.de 
05.05.2020). 


Bund 


BSI soll mehr Personal und 
mehr Befugnisse erhalten 


Bundesinnenminister Horst Seehofer 
(CSU) plant fest, das Bundesamt für die 
Sicherheit in der Informationstechnik 
(BSI) zu einer mächtigen Cyber-Behörde 
mit Hackerbefugnissen aufzurüsten. Ge- 
mäß einem überarbeiteten Referenten- 
entwurf für ein 2. Gesetz „zur Erhöhung 
der Sicherheit informationstechnischer 
Systeme” soll das BSI mit 583 zusätzli- 
chen Stellen zu einem wesentlichen Ak- 
teur im Kampf gegen Botnetze, vernach- 
lässigte Geräte im Internet der Dinge oder 
Verbreiter von Schadsoftware werden. 

Zur Abwehr „erheblicher Gefahren für 
die Kommunikationstechnik des Bun- 


des”, für eine kritische Infrastruktur 
oder für „die Verfügbarkeit von Infor- 
mations- oder Kommunikationsdiens- 
ten” soll das BSI die Betreiber anweisen 
können, betroffene Anlagen von einem 
Schadprogramm zu „bereinigen”. Das gilt 
auch, wenn es zu unerlaubten Zugriffen 
„auf eine Vielzahl von Telekommunika- 
tions- und Datenverarbeitungssystemen 
von Nutzern” kommt. Das BSI soll laut 
dem Entwurf auch „Portscans” durchfüh- 
ren dürfen sowie „Sinkholes“ und „Ho- 
neypots” betreiben, um IT-Angreifern 
einfacher auf die Spur zukommen. 

Das BSI soll aktiv nach ungeschütz- 
ten Netzen oder Systemen, die eine 
bereits bekannte Sicherheitslücke auf- 
weisen oder die anderweitig angreifbar 
sind, suchen. Dies wäre etwa der Fall, 
wenn für ein System werkseitig stets 
ein identisches Passwort wie „0000“ 
oder „admin“ vergeben würde, so die 
Begründung. Um dies herauszufinden, 
müssten Mitarbeiter solche Kennun- 
gen ausprobieren, was bei Unbefugten 
bereits unter den Hackerparagrafen 
& 202 StGB wegen „Ausspähen von Da- 
ten” fallen könnte. Die Behörde soll 
„Pprotokolldaten” einschließlich perso- 
nenbeziehbarer Nutzerinformationen 
wie IP-Adressen, die bei der Online- 
Kommunikation zwischen Bürgern und 
Verwaltungseinrichtungen des Bundes 
sowie Parlamentariern anfallen, für 18 
Monate speichern und auswerten kön- 
nen. Dazu kommen interne „Protokol- 
lierungsdaten“ aus sämtlichen Behör- 
den in Form von Aufzeichnungen über 
die Nutzungsform von IT. 

Die für Betreiber kritischer Infra- 
strukturen bereits geltenden Melde- 
pflichten und Mindeststandards will 
das Ministerium auf Unternehmen aus- 
dehnen, die „von besonderem öffentli- 
chem Interesse sind“, weil ihr „Ausfall 
oder ihre Beeinträchtigung zu erheb- 
lichen volkswirtschaftlichen Schäden, 
zu einer Gefährdung für die öffentliche 
Sicherheit” oder zu einer „Beeinträchti- 
gung der wesentlichen Sicherheitsinte- 
ressen” des Landes führen könnten. Das 
Innenministerium nennt unter anderem 
„Rüstungshersteller sowie Hersteller 
von IT-Produkten für die Verarbeitung 
staatlicher Verschlusssachen”. 

Details will das Innenministerium 
per Rechtsverordnung festgelegen. Bei 
Verstößen gegen die Auflagen sollen 
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Bußgelder von bis zu 20 Millionen Euro 
oder vier Prozent des weltweit erzielten 
Jahresumsatzes drohen. Vorgesehen 
ist weiterhin eine „Huawei-Klausel”. 
Von der Einführung eines im Kampf 
gegen Darknet-Betreiber umstrittenen 
Straftatbestands des „digitalen Haus- 
friedensbruchs” und des Doxxings steht 
in dem Entwurfnichts. Nutzern sollauch 
keine Beugehaft mehr drohen, wenn sie 
sich weigern Passwörter herauszugeben 
(Krempl, IT-Sicherheitsgesetz: BSI soll 
Daten 18 Monate auf Vorrat speichern, 
www.heise.de 12.05.2020, Kurzlink: 
https://heise.de/-4719797). 


Bund 


MAD-Mitarbeiter verrät 
Dienstgeheimnisse 


Nach Presserecherchen haben min- 
destens acht Soldaten des Kommandos 
Spezialkräfte (KSK) regelmäßig un- 
berechtigerweise Ermittlungsinterna, 
also Dienstgeheimnisse, aus dem Mili- 
tärischen Abschirmdienst (MAD) erhal- 
ten. Mindestens ein KSK-Mann, der die 
vertraulichen Informationen von einem 
Oberstleutnant des MAD erhalten hat, 
gab diese dann innerhalb der Truppe 
weiter. Der Bundeswehrgeheimdienst 
ermittelt selbst. Am 19.06.2020 wurden 
Parlamentarier in einer geheimen Sit- 
zung informiert. 

Ein Sprecher des MAD erklärte: „Bitte 
haben Sie dafür Verständnis, dass ich 
zu den laufenden Ermittlungen keine 
weiteren Angaben machen kann.” Es 
würden umfangreiche Ermittlungen 
durchgeführt. Schließlich sei es von 
entscheidender Bedeutung, dass ein 
Amt, welches extremistische Umtriebe 
innerhalb der Truppe aufzuklären habe, 
absolut unangreifbar sein müsse. Minis- 
terin Annegret Kramp-Karrenbauer sei 
entschieden, dies nun umfassend und 
schnell aufzuklären. 

Dass ein MAD-Mitarbeiter offenbar 
Dienstgeheimnisse an einen befreun- 
deten KSK-Soldaten verraten hatte, 
wurde am 18.06. bekannt. Dabei ging es 
um Ermittlungsergebnisse zum Fall des 
KSK-Soldaten Philipp Sch., der zuvor im 
Mai festgenommen worden war. In des- 
sen Garten in Sachsen war ein privates 
Waffenversteck samt Sturmgewehr und 
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Plastiksprengstoff entdeckt worden. Der 
MAD-Mitarbeiter soll Fotos der gefun- 
denen Waffen einem anderen KSK-An- 
gehörigen gezeigt und diesen gewarnt 
haben, der Bundeswehr-Geheimdienst 
könne sich möglicherweise auch für ihn 
interessieren. Der Oberstleutnant wur- 
de suspendiert und soll keinen Zugang 
mehr zur Liegenschaft des Geheim- 
dienstes haben. Es wird geprüft, ob die- 
se Person auch weiteren KSK-Soldaten 
Informationen verraten hat. 

Nach mehreren rechtsextremen Vor- 
fällen im KSK hatte das Bundesver- 
teidigungsministerium erklärt, die 
Eliteeinheit genauer in den Blick zu 
nehmen. Eine Arbeitsgruppe, zu der 
KSK-Kommandeur Markus Kreitmayr 
und Generalinspekteur Eberhard Zorn 
gehören und die von der neuen Wehrbe- 
auftragen Eva Högl begleitet wird, soll 
bis Ende Juni einen Bericht dazu vor- 
legen. Dem KSK gehören mehr als 1.000 
Soldaten an, die besonders gefährliche 
Mission im Ausland durchführen. Dazu 
gehören Anti-Terror-Einsätze in Afgha- 
nistan oder Geiselbefreiungen (Flade/ 
Mascolo/Steinke, Vertrauliches für die 
Freunde, SZ 20./21.06.2020, 6). 


Bund 


Upskirting und Unfallgaffen 
werden Straftatbestände 


Der Bundestag hat am 03.07.2020 ein 
Gesetz beschlossen, das eine Geldstra- 
fe oder eine Freiheitsstrafe bis zu zwei 
Jahren für das sogenannte Upskirting 
vorsieht. Voraussichtlich ab Herbst ist 
damit das heimliche Fotografieren unter 
den Rock oder in den Brustausschnitt 
eine Straftat. Bundesjustizministerin 
Christine Lambrecht (SPD) erklärte, sol- 
che Grenzüberschreitungen seien nicht 
hinnehmbar. Die Fotos verletzten nicht 
nur die Persönlichkeitsrechte, sondern 
auch die sexuelle Selbstbestimmung: 
„Einer Frau unter den Rock oder in den 
Ausschnitt zu fotografieren, ist eine 
schamlose Verletzung ihrer Intimsphä- 
re.“ Lambrecht hatte im September 2019 
einen entsprechenden Gesetzentwurf 
angekündigt (DANA 4/2019, 217 £.). 
Bislang wurde das „Upskirting“ meist 
nur als Ordnungswidrigkeit mit gerin- 
gen Geldbußen geahndet. Das habe Täter 


nicht abgehalten, so der rechtspolitische 
Sprecher der SPD im Bundestag, Johan- 
nes Fechner: „Deshalb schließen wir hier 
eine wichtige Strafbarkeitslücke und ver- 
schärfen das Strafrecht an dieser Stelle.” 

Auch der rechtspolitische Sprecher 
des Koalitionspartners Jan-Marco Lu- 
czak (CDU) begrüßte das neue Gesetz: 
Das heimliche Fotografieren greife lei- 
der immer mehr um sich. „Wir steuern 
als Gesetzgeber jetzt entschlossen da- 
gegen.” Baden-Württembergs Justiz- 
minister Guido Wolf ergänzte: „Noch 
schlimmer ist es, wenn in der Folge 
solche Aufnahmen regelmäßig über das 
Internet einem unbegrenzten Kreis von 
Personen zugänglich gemacht werden.” 

Vor allem in großen Menschenmen- 
gen findet, so Nils Pickert von der fe- 
ministischen Organisation Pinkstinks, 
Upskirting statt - in Bus und Bahn, auf 
Festivals, in Clubs und Bars: „Es gibt 
Leute, die verteilen winzige Kameras auf 
öffentlichen Toiletten, um damit Frauen 
abzufilmen.” Auch das Dowmblousing sei 
weit verbreitet - das heimliche Fotogra- 
fieren in den Ausschnitt: „Zum Beispiel 
wenn ich Ihnen auf einer gegenläufigen 
Rolltreppe entgegenkommen, so tue, 
als würde ich auf meinem Handy etwas 
lesen, in Wahrheit aber Ihre Brust foto- 
grafiere oder filme.” Die 29jährige Hanna 
Seidel aus Ludwigsburg hatte zusammen 
mit Ida Marie Sassenberg aus München 
mit der Petition „Verbietet Upskirting 
in Deutschland!” die Debatte über das 
Thema in Gang gebracht und mehr als 
100.000 Unterschriften gesammelt. 

Baden-Württemberg, Bayern, Nord- 
rhein-Westfalen und das Saarland hat- 
ten daraufhin eine Gesetzesinitiative 
im Bundesrat gestartet. Seidel meint 
ebenso wie Pickert, das Gesetz löse 
nicht gänzlich das Problem: „In der 
Gesellschaft muss noch viel passieren. 
Aber es ist ein richtiger und sehr wich- 
tiger Schritt.” Das Fotografieren im öf- 
fentlichen Raum gegen den Willen - ins- 
besondere von Frauen - sei kein Kava- 
liersdelikt. „Esist übergriffig, esist eine 
Form von sexualisierter Gewalt und so 
muss man auch damit umgehen.” 

Die Essener Rechtsanwältin Jenny Le- 
derer sieht das Gesetz dagegen kritisch: 
„Es gibt keine validen Zahlen, wie häufig 
dieses Problem vorkommt. Deshalb hat 
das Gesetz aus meiner Sicht nur Symbol- 
charakter. Ein einzelnes Phänomen ziel- 
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gerichtet als Straftatbestand auszuge- 
stalten, sei problematisch: „Strafrecht 
muss wirklich das letzte Mittel sein, um 
auf etwas Unerwünschtes zu reagieren.” 

Das Gesetz zur „Verbesserung des Per- 
sönlichkeitsschutzes bei Bildaufnah- 
men” zielt auch auf Gaffer an Unfallstel- 
len ab. Das Fotografieren oder Filmen 
von Unfallopfern wurde ebenfalls zur 
Straftat erklärt. Wer, so Justizministerin 
Lambrecht, Schwerletzte oder gar Tote 
aus „reiner Sensationsgier fotografiert, 
verletzt jeden menschlichen Anstand.” 
Bislang war ein solches Fotografieren 
von Verstorbenen nicht strafbar. Das 
Strafrecht schütze nur lebende Unfall- 
opfer. Jenny Lederer: „Oft werden dabei 
auch noch Rettungskräfte behindert, 
die allestun, um Leben zu retten.” Auch 
diese Lücke werde jetzt geschlossen 
(Beschluss im Bundestag „Upskirting” 
ist künftig Straftat, www.tagesschau.de 
03.07.2020; REdan, Kampfansage ge- 
gen Spanner, KN 04.07.2020). 


Bund 


Beirat für Beschäftigten- 
datenschutzgesetz 


Am 16.06.2020 hat der interdiszip- 
linäre Beirat zum Beschäftigtendaten- 
schutz im Bundesministerium für Ar- 
beit und Soziales (BMAS) seine Arbeit 
aufgenommen. Das aus 14 Personen 
bestehende Gremium unter Vorsitz von 
Prof. Herta Däubler-Gmelin, Bundesjus- 
tizministerin a.D., sollin den folgenden 
sechs Monaten Empfehlungen hinsicht- 
lich der Notwendigkeit eines eigenstän- 
digen Gesetzes zum Beschäftigtenda- 
tenschutz erarbeiten. Das Gremium wird 
unter anderem beraten, ob und wie die 
Bundesregierung eine Öffnungsklausel 
in der Europäischen Datenschutzgrund- 
verordnung nutzen sollte, um mit kon- 
kreten Regelungen den Beschäftigten- 
datenschutz in Deutschland transparen- 
ter und sicherer zu machen. 

Bundesarbeitsminister Hubertus Heil 
erklärte dazu: „Wenn wir wettbewerbs- 
fähig bleiben und einen Spitzenplatz 
in der Verwendung von neuen digitalen 
Anwendungen wie Klin Wirtschaft und 
Arbeitswelt einnehmen wollen, müssen 
wir dafür sorgen, dass die Beschäftig- 
ten diesen Technologien vertrauen. Sie 
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müssen sich auch in Zukunft darauf 
verlassen können, dass ihre persönli- 
chen Daten in ihrem Arbeitsumfeld gut 
geschützt sind. Ich freue mich, dass 
der Beirat zum Beschäftigtendaten- 
schutz sich diesem wichtigen Thema 
annimmt. Denn der Weg in eine sozial 
gestaltete Datenökonomie kann nur 
gelingen, wenn die Perspektive der Be- 
schäftigten konsequent beachtet und 
mitgedacht wird.” Und die Vorsitzende 
Hertha Däubler-Gmelin ergänzte: „Die 
Mitglieder bringen Kenntnisse und Er- 
fahrungen aus ganz unterschiedlichen 
Bereichen in die Arbeit des Beirats ein - 
gut für die dynamische Entwicklung der 
Arbeit in unserer Gesellschaft und den 
Beschäftigtendatenschutz!” 

Dem Beirat, der von der Denkfabrik 
Digitale Arbeitsgesellschaft im BMAS 
koordiniert und begleitet wird, gehören 
folgende Expertinnen und Experten aus 
den Bereichen Technologie, Ethik und 
Arbeitspsychologie und Datenschutzan: 
Prof. Beate Bergmann, Bundesanstalt 
für Arbeitsschutz und Arbeitsmedizin, 
Prof. Ulrich Kelber, Bundesbeauftragter 
für Datenschutz und Informationsfrei- 
heit, Prof. Marita Körner, Universität 
Hamburg, Thomas Koczelnik, Konzern- 
betriebsrat Deutsche Post DHL Group, 
Dr. Ariane Reinhart, Continental AG, 
Prof. Anne Richert, Frankfurt Univer- 
sity of Applied Sciences, Prof. Rüdiger 
Krause, Universität Göttingen, Benedikt 
Rüdesheim, Rechtsanwalt, Prof. Sabine 
Sachweh, Fachhochschule Dortmund, 
Prof. Judith Simon, Universität Ham- 
burg, Prof. Jürgen Taeger, Universität 
Oldenburg, Prof. Georg Thüsing, Univer- 
sität Bonn, Tim Wybitul, Rechtsanwalt, 
Prof. Peter Wedde, Frankfurt University 
of Applied Sciences. 

Grundlage für die Arbeit des Gremiums 
werden umfassende Anhörungen von 
Verbänden und Gewerkschaften sowie 
Unternehmen, Datenschutzbeauftrag- 
ten, Betriebsräten und Beschäftigten bil- 
den, die konkrete Handlungsbedarfe aus 
ihrer Perspektive formulieren. 

Mit dem Beirat zum Beschäftigtenda- 
tenschutz setzt das BMAS den im Koa- 
litionsvertrag verankerten Prüfauftrag 
zur Einführung eines eigenständigen 
Gesetzes zum Beschäftigtendaten- 
schutz um. Die Einrichtung des Beirats 
schließt an die Arbeit der von der Bun- 
desregierung eingesetzten Datenethik- 


kommission an, die im Herbst 2019 ihr 
Gutachten vorgelegt hat. Darin empfahl 
sie der Bundesregierung, gemeinsam 
mit den Sozialpartnern gesetzliche Kon- 
kretisierungen des Beschäftigtendaten- 
schutzes zu entwickeln (Bundesarbeits- 
ministerium, PE 16.06.2020: Beirat zum 
Beschäftigtendatenschutz nimmt seine 
Arbeit auf). 


Bundesweit 


Sicherheitslücken bei HPI- 
Schul-Cloud 


Journalistenrecherchen des RBB 
zeigten schwere Sicherheitslücken bei 
der Schul-Cloud des Potsdamer Hasso- 
Plattner-Instituts (HPI) auf. Die Cloud 
wird von Schulen in vielen Bundeslän- 
dern, u.a. in Niedersachsen, Berlin und 
Brandenburg genutzt. Von beliebigen 
Internet-Rechnern war es möglich, ohne 
Insiderwissen das sogenannte „Ticket- 
system” der Cloud aufzurufen. Hier kön- 
nen sich Nutzer der Cloud, ob Lehrer oder 
Schüler, an die Administratoren wenden, 
wenn es Probleme gibt. Abrufbar waren 
die Vor- und Nachnamen von Schülern, 
auch Email-Adressen von Anwendern 
und Schulen. Die HPI-Schul-Cloud wirbt 
besonders mit der „Einhaltung der gel- 
tenden Datenschutzbestimmungen”. 

HPI wurde am 14.05.2020 über die 
Angriffsmöglichkeiten informiert und 
um Stellungnahme gebeten. Anstatt zu 
antworten, ging das HPI am 18.05.2020 
an die Öffentlichkeit und vermeldete ei- 
nen illegalen Hackerangriff. Es habe die 
Datenschutz-Lücke sofort geschlossen, 
so HPI-Direktor Christoph Meinel. Erst 
nach weiteren vier Tagen bestätigte HPI 
gegenüber den recherchierenden Jour- 
nalisten, „dass in den Tickets tatsächlich 
personenbezogene Informationen ent- 
halten waren. Insofern bestand in den 
von Ihnen aufgezeigten Einzelfällen tat- 
sächlich vorübergehend die Möglichkeit 
eines unbefugten Zugriffs auf personen- 
bezogene Tickets durch Dritte”. Das HPI 
bedauere diese Zugriffsmöglichkeit, die 
man sofort beendet habe. 

Die Schul-Cloud ist ein politisches Re- 
nommierprojekt. Nach HPI-Angaben fin- 
det esin etwa 300 Schulen als Pilotpro- 
jekt Anwendung und wirbt damit: „Wir 
sind speziell auf Schulen ausgerichtet 
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und decken die datenschutzrechtlichen 
Anforderungen von Schulen ab!“ 

Mit Hilfe von IT-Fachleuten wurden 
weitere Sicherheitslücken entdeckt. Mit 
einer Einmal-Mail-Adresse gelang es, 
sich einen Account in der Schul-Cloud 
zuzulegen. Damit konnten die Namen 
der beteiligten Schulen in einem Bun- 
desland aufgerufen werden und mit 
wenigen weiteren Klicks die Namen an- 
gemeldeter Schüler und Schülerinnen. 
Über einen anderen Pfad war es mühe- 
los möglich, an eine Liste mit mehreren 
Tausend Schülernamen zu kommen, die 
sich am Schul-Cloud-Chat beteiligen. 

Das HPI bestätigte, dass der „skizzier- 
te Angriff tatsächlich durchgeführt wer- 
den“ konnte. Man habe aber auch diese 
Schwachstelle geschlossen und sämtliche 
betroffenen Datenschutzbehörden und 
Schulen informiert. Man habe „Strafan- 
zeige gegen Unbekannt” wegen eines Zu- 
griffs auf Daten einer Schule im Saarland 
erstattet mit dem Vorwurf des Ausspähens 
von Daten und der Datenhehlerei. Das 
HPI argumentierte, der Zugriff auf Per- 
sonendaten sei nur über öffentlich nicht 
zugängliche Registrierungslinks möglich 
gewesen. Einbezogene Experten verwun- 
derte diese Aussage, da die Daten offen 
und ungeschützt verfügbar waren; der Re- 
gistrierungslink war öffentlich via Goog- 
le abrufbar. Das HPI beharrte auch nach 
einer Nachfrage darauf, dass die Regist- 
rierungs-Links vom HPI ausschließlich 
den Schulen für den internen Gebrauch 
überlassen worden seien, eine sonstige 
Nutzung durch Dritte somit rechtswidrig. 

Der Jurist und frühere Datenschutz- 
beauftragte von Schleswig-Holstein, 
Thilo Weichert, bewertete diese HPI-Ar- 
gumentation als „unverschämt“. Wenn 
Daten nicht ausreichend geschützt wür- 
den, könne man gar nicht von einem 
rechtswidrigen Zugriff sprechen: „Die 
schlechte Absicherung des Systems“ bei 
der HPI-Schul-Cloud sei unzulässig. Er 
zeigte sich sehr verblüfft, wie einfach 
es möglich war, von jedem Netzrechner 
aus in das System einzudringen und 
die „Daten der Schulen einschließlich 
der Angaben zu den Schülerinnen und 
Schülern auszuspionieren“. 

Der Direktor des HPI Christoph Meinel 
wies diese Kritik zurück: „Systemische 
Sicherheitslücken sehen wir nicht, uns 
ist jedoch bewusst, dass es nahezu un- 
möglich ist, eine komplexe Software be- 
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weisbar ohne Sicherheitslücken zu im- 
plementieren und zu betreiben. Unser 
Informationssicherheitsmanagement- 
system ist noch jung und insbesondere 
in einem so rapide wachsenden, agilen 
Team können menschliche Fehler nicht 
ausgeschlossen werden.” 

Das Bundesministerium für Bildung 
und Forschung (BMBF) fördert das HPI- 
Projekt seit 2016 mit gut sieben Millionen 
Euro bis 2021, um am Ende für deutsch- 
landweit 44.000 Schulen eine IT-Lern-In- 
frastruktur anbieten zu können. Das Mi- 
nisterium teilte mit, man habe sich „nach 
Bekanntwerden der aktuellen Sicher- 
heitsvorfälle” vom HPI „über die Vorfälle 
und Maßnahmen informieren lassen“. 
Eine aktuelle Ankündigung einer weite- 
ren Zuwendung in Höhe eines zweistelli- 
gen Millionenbetrags für die Entwicklung 
der HPI-Cloud von Bildungsministerin 
Anja Karliczek (CDU) alarmierte die grü- 
ne Bundestagsabgeordnete Ekin Deligöz: 
Offenkundig habe das Forschungsminis- 
terium „nicht richtig hingeschaut und 
Zuwendungen in Millionenhöhe bewil- 
ligt, ohne den Datenschutz hinreichend 
geprüft zu haben.” 

Der Sprecher der Landesdatenschutz- 
behörde von Brandenburg Sven Müller 
teilte mit, es könnten sich „im Quelltext 
dieses umfangreichen Projekts weitere 
Fehler befinden, die zu anderen Sicher- 
heitslücken führen können.” Das HPI 
unternehme daher umfangreiche Tests; 
die Aufklärung dauere an. Erst danach 
werde man über „aufsichtsrechtliche 
Maßnahmen unserer Behörde gegenüber 
dem HPI” entscheiden. Padeluun von der 
Bürgerrechtsorganisation „Digitalcoura- 
ge e.V.” zeigte sich über die Recherche- 
ergebnisse sehr besorgt: „Dieses System 
muss durch die Aufsichtsbehörden ab- 
geschaltet werden, bevor die sensiblen 
Daten von Schülerinnen und Schülern 
in dunkle Kanäle umgeleitet werden” 
(Adamek/Opalka, HPI-Schul-Cloud wies 
schwere Sicherheitslücken auf, www. 
rbb24.de 20.05.2020). 


Bundesweit 


Apple-Maps-Kamerawagen 
unterwegs 


Apple schickte Kamerawagen von Juni 
bis September 2020 durch Deutschland, 


um „Vermessungsfahrten” und „Bilder- 
fassungen“ durchzuführen. Nur Autos 
sollen in den dreizehn Bundesländern 
sowie Berlin, Bremen und Hamburg un- 
terwegs sein; Bilderfassungen mit „trag- 
baren Systemen”, etwa in Fußgänger- 
zonen, sind nach Apple-Angaben nicht 
vorgesehen. Wie viele Kamerawagen 
dafür eingesetzt werden und wie umfas- 
send das deutsche Straßennetz abgebil- 
det werden soll, blieb zunächst unklar. 
Apple war 2019 bereits mit gut 80 Autos 
in Deutschland ebenso wie in anderen 
europäischen Ländern unterwegs. Neben 
Kameras dürften die Fahrzeuge wieder 
mit verschiedenen Sensoren, darunter 
Light-Detection-and-Ranging-Sensoren 
(Lidar) ausgerüstet sein, die die Umge- 
bung dreidimensional erfassen können. 
Die Vermessungsfahrten bilden die 
Grundlage für Apples großangelegte 
Renovierung des hauseigenen Karten- 
dienstes. Seit Anfang 2020 zeigt Apple in 
den USA eine neue Kartenversion, dieim 
Laufe des Jahres auch nach Europa kom- 
men soll. Ob zu den abgedeckten Län- 
dern auch Deutschland gehört, ist offen. 
Teil der neuen Version von Apple Maps re- 
spektive Apples Karten-App in i0S 13 ist 
die Funktion „Umsehen“” (Look Around) 
- ein Pendant zu Googles Streetview, mit 
dem man Städte praktisch auf Augenhö- 
he „durchfahren“ kann. Derzeit sind so 
einige wenige US-Städte abgedeckt. 
2019 hatten Datenschutzbehörden 
darauf hingewiesen, dass bei der Ein- 
führung einer solchen Funktion in 
Deutschland eine „leicht zugängliche 
Widerspruchsmöglichkeit” angeboten 
werden muss. Apple verspricht, dass Ge- 
sichter und Nummernschilder auf den 
Aufnahmen automatisch unkenntlich 
gemacht werden. Wer die Verpixelung 
seines Hauses beantragen will, kann 
sich per E-Mail an den Konzern wenden 
(Becker, Apple Maps: Kamerawagen 
in ganz Deutschland unterwegs, www. 
heise.de 09.06.2020, Kurzlink: https:// 
heise.de/-4779084). 


Bundesweit 


Datenschutzbehörden gegen 
Glücksspielstaatsvertrag 


Die Landesdatenschutzbeauftrag- 
ten meinen, dass der im März 2020 be- 
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schlossene Glücksspielstaatsvertrag in 
mehrfacher Hinsicht das Grundrecht 
auf Datenschutz verletzt. Dieser sieht 
ab Juli 2021 die Schaffung einer Behör- 
de mit Sitz in Sachsen-Anhalt vor, die 
Glücksspiel im Internet, also virtuelle 
Automaten, Pokertische oder Black- 
jack-Runden, überwacht. Auch für die 
Online-Auftritte der im Fußball omni- 
präsenten Sportwettangebote soll die 
Aufsichtsbehörde bundesweit zustän- 
dig sein. Damit wollen die Bundesländer 
erstmals Online-Angebote erlauben; es 
soll Schluss sein mit milliardenschweren 
unregulierten Grau- und Schwarzmärk- 
ten, auf denen sich Sportwett- und Casi- 
noanbieter bislang bewegen. 

Nach Ansicht der Landesdatenschutz- 
beauftragten sind die Länder dabei aber 
über das Ziel hinausgeschossen. In ei- 
nem Schreiben an die Staatskanzlei des 
Landes NRW bemängelt der sächsische 
Datenschutzbeauftragte Andreas Schu- 
rig als Vorsitzender der Datenschutzkon- 
ferenz erhebliche Probleme, die der neue 
Glücksspielstaatsvertrag mit sich bringe. 
Unter anderem rät er dringend von der 
Einrichtung zentraler Dateien ab, mit 
denen die neue Glücksspielbehörde das 
Online-Spiel überwachen will. Nord- 
rhein-Westfalen war federführend für die 
CDU-geführten Länder bei den Beratun- 
gen zum Glücksspielstaatsvertrag. 

Das Regelwerk sieht als Teil der Sucht- 
prävention vor, dass Spieler anbieter- 
übergreifend nicht mehr als 1.000 Euro 
pro Monat einzahlen dürfen. Das soll die 
neue Magdeburger Behörde permanent 
in einer zentralen Datei überwachen. 
Spieler würden darin unter anderem 
mit Namen, Geburtsdatum, Anschrift 
und ihren Einzahlungen gespeichert, 
was die Online-Aktivitäten eines Spie- 
lers staatlicherseits vollständig nach- 
vollziehbar mache, schreibt Schurig: 
„Glücksspiel findet nicht mehr statt, 
ohne dass der Staat Kenntnis vom Spie- 
ler und seinen konkreten Spieleinsätzen 
erlangt.” Er kritisiert außerdem, dass 
die Daten ein Jahr gespeichert bleiben 
sollen. Eine solche Datei sollte nicht ge- 
schaffen werden. 

Zudem bemängeln die Datenschutz- 
beauftragten zwei weitere Dateien. Die 
neue Behörde soll zentral überwachen, 
dass Spieler immer nur bei einem An- 
bieter gleichzeitig spielen - womit ge- 
speichert würde, wann ein Spieler aktiv 
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gewesen ist. Ein Algorithmus soll sucht- 
gefährdete und süchtige Spieler iden- 
tifizieren, was im Gesetz aber unklar 
formuliert und nach der Datenschutz- 
Grundverordnung wohlrechtswidrig sei. 
Anfang 2020 hatte der Ex-Bundesda- 
tenschutzbeauftragte Peter Schaar vor 
einer „Totalüberwachung von Spielern“ 
gewarnt. Im März hatten sich die Mi- 
nisterpräsidenten der Länder nach jah- 
relangen Verhandlungen auf die Neu- 
fassung des Glücksspielstaatsvertrags 
geeinigt. Um in Zukunft effektiver ge- 
gen illegale Angebote vorzugehen, sind 
Netzsperren vorgesehen, zu denen die 
Regulierung Netzbetreiber verpflichten 
könnte. Bislang beschränkt sich das 
Vorgehen auf die Unterbindung von 
Zahlungsströmen. Der von den Minis- 
terpräsidenten beschlossene Staatsver- 
trag wird noch von der EU-Kommission 
geprüft. Die 16 Länderparlamente sollen 
den Vertrag im Herbst 2020 ratifizieren 
(Willmroth, Datenschützer kritisieren 
Glückspielregeln, SZ 12.06.2020, 22). 


Bund 


Regierungskoalition einigt 
sich auf Lobbyregister 


Nach langem Widerstand aus den Uni- 
onsparteien hat sich die große Koalition 
von CDU/CSU und SPD am 03.07.2020 
auf ein verbindliches Lobbyregister für 
den Bundestag verständigt. Die Affä- 
re um den CDU-Abgeordneten Philipp 
Amthor hatte Bewegung in die Gesprä- 
che gebracht. Amthor hatte sich beim 
Wirtschaftsministerium für das US-ame- 
rikanische IT-Unternehmen Augustus 
Intelligence eingesetzt. Für die Union 
teilten in Berlin Fraktionsvize Thorsten 
Frei und der zuständige Berichterstat- 
ter Patrick Schnieder mit, dass schärfere 
Transparenzregeln für Interessensvertre- 
ter gegenüber dem Bundestag und sei- 
nen Mitgliedern gelten werden. 

Verstöße gegen das Register sollen 
sanktioniert werden können. SPD-Frak- 
tionsvize Dirk Wiese und sein Kollege 
Matthias Bartke kündigten eine schnel- 
le Verabschiedung an: „Wir haben eine 
Lösung gefunden, die deutlich mehr 
Transparenz herstellt, ohne dass der 
wichtige Kontakt zu Abgeordneten er- 
schwert wird”. Auch für den CDU-Politi- 


ker Schnieder ist die Einigung mit dem 
Koalitionspartner SPD ein echter Erfolg: 
„Vor allem der verpflichtende Charakter 
des Lobbyregisters ist wichtig. So haben 
wir uns insbesondere darauf verstän- 
digt, dass Verstöße gegen die Regist- 
rierungspflicht durch die Einführung 
eines neuen Ordnungswidrigkeitentat- 
bestandes zukünftig bußgeldbewehrt 
sein werden.” 

Linken-Chef Bernd Riexinger begrüß- 
te die Einigung der Koalition als einen 
überfälligen Schritt, um den Einfluss 
der Wirtschaft auf die Gesetzgebung zu- 
rückzudrängen. Allerdings seien weite- 
re Schritte nötig, um die Demokratie vor 
dem Einfluss finanzstarker Lobbygrup- 
pen zu schützen: „Es muss ein Beschäf- 
tigungsverbot für Lobbyistinnen und 
Lobbyisten in Bundesministerien und 
von Abgeordneten bei Unternehmen 
und Lobbyorganisationen folgen. Wer 
Gesetze schreibt, darf nicht gleichzeitig 
von ihnen profitieren. Die Nebenver- 
dienste von Abgeordneten, inklusive al- 
ler geldwerten Leistungen, müssen auf 
Euro und Cent veröffentlicht werden.” 
Die Oppositionsparteien FDP, Linke und 
Grüne haben bereits Anträge zu einem 
solchen Register vorgelegt. 

Transparency Deutschland begrüßte 
die Einigung ebenfalls. Endlich habe 
sich die Koalition entschlossen, etwas 
gegen intransparenten Lobbyismus und 
den damit verbundenen Ansehensver- 
lust der Politik zu unternehmen: „Al- 
lerdings erwarten wir eine umfassende 
gesetzliche Regelung, die auch für die 
Bundesregierung gilt.” 80% der Gesetze 
würden von der Bundesregierung ini- 
tiiert, und wichtige Gespräche würden 
in den Ministerien geführt, wie der Fall 
Amthor zeige (Union und SPD einigen 
sich auf verbindliches Lobbyregister, 
www.heise.de 03.07.2020). 


Bund 


Kartellamt geht gegen 
Smart-TV-Hersteller vor 


Das Bundeskartellamt hat schwere 
Mängel beim Datenschutz und der IT- 
Sicherheit bei vernetzten Fernsehge- 
räten ausgemacht und fordert von den 
Herstellern umfangreiche Nachbesse- 
rungen. Es verweist zudem auf weitere 
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Probleme wie „die Rechtmäßigkeit von 
Werbeeinblendungen im TV-Portal“. 
Die in Deutschland aktiven Smart-TV- 
Hersteller zeigten fast durchgehend 
schwerwiegende Transparenzmängel 
rund um die Privatsphäre der Verbrau- 
cher. Damit verstießen sie massiv gegen 
die Datenschutz-Grundverordnung. 

Die Geräte können laut der „Sektor- 
untersuchung Smart-TVs“ vielfältig 
personenbezogene elektronische Spu- 
ren erheben. So könnten das generelle 
Fernsehverhalten einer Person, ihre 
App-Nutzung, ihr Surf- und Klickverhal- 
ten oder auch biometrische Daten wie 
Stimme oder Cursorbewegungen sowie 
die im Einzelnen über den Fernseher 
abgespielten Inhalte erfasst und ausge- 
wertet werden. Dass die Hersteller solch 
intime Nutzungsdaten sammeln und 
etwa für personalisierte Werbung ver- 
wenden, könne der Verbraucher meist 
nur verhindern, indem er Einstellungen 
an seinem Fernsehgerät ändert und sich 
durch zahlreiche Menüs hangelt. Sich 
über die Datenschutzbestimmungen 
bereits vor dem Kauf zu informieren, sei 
oft nicht oder nur mit großem Aufwand 
möglich. Bei der Ersteinrichtung fügten 
sich die meisten Kunden zudem den 
angezeigten Bedingungen, da sie dazu 
keine Alternative sähen. 

Für die Käufer sei meist nicht nach- 
vollziehbar, dass die Datenschutzbe- 
stimmungen „für eine Vielzahl von 
Diensten und Nutzungsprozessen gelten 
sollen“. Die Verbraucher erführen nicht 
zuverlässig, welche personenbezogenen 
Daten verarbeitet, für wie lange gespei- 
chert und an Dritte übermittelt werden. 
Etliche Hersteller gewährleisten zudem 
nicht, dass der Standard der Geräte für 
IT-Sicherheit auch in den Jahren nach 
dem Kauf durch Software-Aktualisie- 
rungen aufrechterhalten wird; dazu 
mache kein Unternehmen verbindliche 
Angaben. Für die Verbraucher sei diese 
Information aber unerlässlich, „um ein- 
schätzen zu können, wie lange sie das 
Gerät uneingeschränkt gefahrlos ver- 
wenden können“. 

Das Bundeskartellamt fordert, dass 
Nutzer besser und zielgerichteter „über 
die Möglichkeit zur extensiven Daten- 
sammlung und -verarbeitung” durch alle 
Geräte im Internet der Dinge aufgeklärt 
werden. Die Unternehmen sollten not- 
wendige Informationen klarer und ein- 
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facher vermitteln müssen. Anwendern 
sollte es leichter gemacht werden, Da- 
tenschutzstandards schon vor dem Kauf 
etwa durch eingängige Bildsymbole zu 
berücksichtigen. Nötig sei zudem ein 
„klarer gesetzlich geregelter Anspruch 
des Verbrauchers auch gegenüber dem 
Hersteller auf Software-Updates”. Der 
Gesetzgeber solle auch Haftungsfragen 
beim Zusammenspiel der verschiede- 
nen Akteure im Bereich des „Internet 
ofThings“ (IoT) klären. Die Kontrolleure 
hatten die Untersuchung im Dezember 
2017 auf Basis neu erhaltener verbrau- 
cherrechtlicher Kompetenzen einge- 
leitet. Die Ermittlungen betrafen rund 
20 Anbieter, die in Deutschland inter- 
netfähige Fernsehgeräte unter eigenen 
Marken absetzen (Krempl, Bundeskar- 
tellamt: Smart-TV-Hersteller verstoßen 
massiv gegen die DSGVO, www.heise.de 
02.07.2020, Kurzlink: https://heise. 
de/-4801949). 


Baden-Württemberg 


Millionenbußgeldbescheid 
gegen AOK wegen 
Werbenutzung 


Wegen eines Verstoßes gegen die Da- 
tenschutz-Grundverordnung (DSGVO) 
hat die AOK Baden-Württemberg vom 
Landesbeauftragen für den Datenschutz 
in Stuttgart (LfDI BaWü) ein Bußgeld in 
Höhe von 1,24 Mio. € auferlegt bekom- 
men. Sie habe 2015 bis 2019 Gewinn- 
spiele veranstaltet und dabei personen- 
bezogene Daten der Teilnehmer gesam- 
melt, darunter deren Kontaktdaten und 
Krankenkassenzugehörigkeit, um die 
Daten der Gewinnspielteilnehmer für 
Werbezwecke zu nutzen. Gemäß einer 
Mitteilung des LfDI BaWü wollte die AOK 
mit internen Richtlinien und Daten- 
schutzschulungen sicherstellen, dass 
nur Daten jener Gewinnspielteilnehmer 
zu Werbezwecken verwendet werden, 
die zuvor eingewilligt hatten. Dennoch 
seien die personenbezogenen Daten von 
mehr als 500 Gewinnspielteilnehmern 
ohne deren Einwilligung zu Werbezwe- 
cken verwendet worden. 

Nachdem ihr der Vorwurf bekannt 
wurde, habe die AOK sofort den Ver- 
trieb eingestellt, um sämtliche Abläufe 
gründlich zu prüfen, eine Task Force 


eingesetzt, die Einwilligungserklärun- 
gen angepasst und interne Prozesse und 
Kontrollstrukturen geändert. Bei der 
Bemessung der Geldbuße sei neben der 
Größe und Bedeutung der AOK Baden- 
Württemberg berücksichtigt worden, 
dass sie als eine gesetzliche Krankenver- 
sicherung wichtiger Bestandteil des Ge- 
sundheitssystems sei: „Weil Bußgelder 
nach der DSGVO nicht nur wirksam und 
abschreckend, sondern auch verhältnis- 
mäßig sein müssen, war bei der Bestim- 
mung der Bußgeldhöhe sicherzustellen, 
dass die Erfüllung dieser gesetzlichen 
Aufgabe nicht gefährdet wird.” Die seit 
gut zwei Jahren geltende Regelung gibt 
den Aufsichtsbehörden die Befugnis, 
bei Verstößen Geldstrafen von bis zu 
vier Prozent der weltweiten Einnahmen 
oder 20 Mio. € durchzusetzen. Die bis- 
her höchste Strafe wurde Google mit 50 
Mio. € in Frankreich auferlegt (Wilkens, 
DSGVO-Verstoß: AOK Baden-Württem- 
berg soll 1,2 Millionen Euro geldbüßen, 
www.heise.de 30.06.2020, Kurzlink: 
https://heise.de/-4799680). 


Bundesweit 


Polizeiliche Gesichtserken- 
nung nimmt massiv zu 


Das umstrittene Ermittlungsverfahren 
der biometrischen Gesichtserkennung 
wird zunehmend zum Standardinstru- 
ment von Strafverfolgern in Deutsch- 
land. Deutsche Polizeibehörden haben 
im BKA-Gesichtserkennungssystem GES 
2019 fast 54.000 Recherchen durch- 
geführt, während es 2017 noch 27.000 
waren. Beim Bundeskriminalamt (BKA), 
das in diesem Bereich in Deutschland 
als Zentralstelle fungiert, wachsen die 
Datenbanken für Porträts an und wer- 
den immer häufiger genutzt. Aus einer 
Antwort der Bundesregierung auf eine 
Anfrage der Linksfraktion im Bundes- 
tag geht hervor, dass 2017 Ermittler von 
Bund und Ländern im zentralen BKA- 
Gesichtserkennungssystem GES rund 
27.000 Recherchen durchgeführt haben. 
Im ersten Halbjahr 2018 waren es bereits 
20.749, wobei 320 Personen identifiziert 
werden konnten. 2019 nahmen die Be- 
amten nun insgesamt 53.971 Abfragen 
in der Datenbank vor, mit deren Hilfe sie 
insgesamt 2.123 Personen identifizier- 
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ten. Die Zahl der Recherchen stieg damit 
gegenüber 2017 um fast 60%. 

Das BKA selbst führte mit 27.523 Zu- 
griffen fast exakt die Hälfte der GES- 
Recherchen in 2019 durch, konnte mit 
187 ausgemachten Personen die Tech- 
nik aber nicht sehr gewinnbringend 
nutzen. Auf das Konto der Landeskri- 
minalämter gehen 21.251 Abfragen, mit 
denen diese immerhin 1.488 Betroffene 
identifizieren konnten. Inwieweit sich 
in der Statistik noch die Folgen der viel- 
kritisierten biometrischen Fahndung 
der Polizei Hamburg nach Randalierern 
beim G20-Gipfel 2017 in der Hansestadt 
niederschlagen (DANA 4/2018, 199 £.), 
geht aus der Antwort nicht hervor. 

Die Bundespolizei führte 5.197 Re- 
cherchen im GES durch und landete 
dabei 448 positive Treffer. Ein Plan von 
Bundesinnenminister Horst Seehofer 
(CSU), wonach die einstigen Grenz- 
schützer an Bahnhöfen und Flughäfen 
eine „intelligente Videoüberwachung” 
mit Mustererkennung verwenden und 
dabei gegebenenfalls auch biometri- 
sche Daten abgleichen dürfen sollen, 
wurde auf Eis gelegt (vgl. DANA 1/2020, 
38). Nach Ansicht der Regierung stellt 
das bestehende Bundespolizeigesetz 
zumindest für den Einsatz der auch 
auf EU-Ebene diskutierten Systeme zur 
„Live-Gesichtserkennung“ keine hinrei- 
chenderechtliche Basis dar. Dafür „wäre 
vielmehr eine eigenständige gesetzliche 
Ermächtigungsgrundlage erforderlich”, 
welche die einschlägigen Vorausset- 
zungen „unter Beachtung verfassungs- 
rechtlicher Anforderungen hinreichend 
bestimmt“. 

Das BKA führt zudem laut der Ant- 
wort im Bereich Biometriesystemen eine 
Amtsdatei „ST-Libi-Z”. Sie diene der Po- 
lizeibehörde im Kampf gegen politisch 
motivierte Kriminalität „zur Speicherung 
der im Rahmen ihrer Aufgabenwahrneh- 
mung anfallenden digitalen Lichtbilder 
und der Identifizierung von unbekann- 
ten polizeilich relevanten Personen 
mittels automatisierter Lichtbildverglei- 
che”. Mit Stand vom 19.03.2020 umfass- 
te diese Datenbank demnach insgesamt 
3.519 Fotos zu 2.950 Personen aus dem 
Bereich „Politisch motivierte Kriminali- 
tät - Religiöse Ideologie“. 

Der Bestand an recherchefähigen 
Porträtbildern im zentralen polizeili- 
chen Informationsverbund Inpol stieg 
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gemäß den Angaben des BMI von 5,50 
Mio. Lichtbildern Anfang 2019 aufrund 
5,81 Mio. am 02.01.2020. Der „Netto- 
Aufwuchs” habe demnach rund 310.000 
Aufnahmen innerhalb von zwölf Mo- 
naten betragen, was einem Plus von 
fast 5,5% entspricht: „Eine detaillierte 
Auswertung zur Anzahl sowie zu den 
Gründen der hinzugekommenen und 
gelöschten Lichtbilder ist aufgrund der 
Corona-Lage zurzeit nicht möglich.” 
Im einschlägigen System Inpol-Z seien 
Anfang Januar 3.648.613 Personen mit 
Porträtfotos gespeichert gewesen. 

Der europapolitische Sprecher der 
Linksfraktion, Andrej Hunko, bezeich- 
nete „die abermals stark steigenden 
Zahlen [als] absolut besorgniserre- 
gend“. Sie belegten, „dass die Gesichts- 
erkennung durch Behörden unbedingt 
eingehegt werden muss”. Für Abfragen 
im Inpol-System würden auch Bilder aus 
der Videoüberwachung im öffentlichen 
Raum genutzt, was wohl den Zuwachs 
bei der Bundespolizei erklärte. Eine 
Reform des Bundespolizeigesetzes, mit 
der die Gesichtserkennung an Verkehrs- 
knotenpunkten sogar automatisiert 
erfolgen dürfte, „müssen wir deshalb 
unbedingt verhindern“ (Krempl; Über- 
wachung: BKA und LKAs weiten Einsatz 
von Gesichtserkennung deutlich aus, 
www.heise.de 30.04.2020, Kurzlink: 
https://heise.de/-47129569). 


Bayern 


Corona-Gästelisten für Po- 
lizeiermittlungen genutzt 


Die Bayerische Polizei hat für Ermitt- 
lungen auf die Daten aus Wirtshäusern 
oder Biergärten zugegriffen, die im Rah- 
men der Bekämpfung der Corona-Pande- 
mie angelegt wurden. Dies ist in mindes- 
tens zehn Fällen passiert. Die Gästedaten, 
die beim Besuch eines Lokals angegeben 
werden müssen, sind eigentlich zur Ver- 
folgung möglicher Infektionsketten ge- 
dacht. Der Innenminister des Freistaates 
Joachim Herrmann (CSU) rechtfertigte 
dies: „Der Bürger erwartet zu Recht, dass 
die Polizeiim Rahmen der Rechtsordnung 
alles zu seinem Schutz unternimmt und 
nicht unter dem Deckmäntelchen eines 
falsch verstandenen Datenschutzes die 
Hände iin den Schoß legt.” 


Die Polizeipräsidien betonten, dass 
sie nur bei entsprechend schwerwie- 
genden Delikten auf die Daten zugrei- 
fen würden. In Ober- und Mittelfranken 
nutzten Polizisten die Daten jeweils zur 
Aufklärung versuchter Tötungsdelikte, 
in Schwaben zum Beispiel bei der Ver- 
misstensuche nach einem Wanderer; 
das Landeskriminalamt nutzte außer- 
dem Daten von Gästen nach einem mut- 
maßlichen Rauschgiftdelikt in einem 
Wirtshaus. Dass sie mit den Listen auf 
sensible Daten zugreifen, ist den Beam- 
ten, so die Auskunft der Präsidien, bei 
ihren Abwägungen klar. Auch wenn die 
Daten grundsätzlich nur für den eigent- 
lichen Zweck genutzt werden dürften, 
sei für die Aufklärung von Delikten laut 
Strafprozessordnung eine „Zweckände- 
rung” möglich. 

Teile der Landtagsopposition hatten 
sich nach Bekanntwerden der Fälle em- 
pört gezeigt. Grünen-Fraktionschefin 
Katharina Schulze sagte, sie könne die 
Irritation der Menschen über diesen 
Vertrauensbruch absolut nachvollzie- 
hen. „Meine große Sorge ist, dass Leute 
sich vielleicht denken: ‚Dann schreibe 
ich vielleicht einen falschen Namen auf 
die Liste, weil wer weiß, an wen diese 
Daten überhaupt kommen’”. Dies habe 
ernsthafte Konsequenzen für die Pan- 
demiebekämpfung. Martin Hagen, FDP- 
Fraktionsvorsitzender, meinte: „Das 
Beteuern der Polizei, die Daten nur bei 
besonders schwerwiegenden Delikten 
zu nutzen, reicht nicht aus. Gästedaten 
müssen tabu sein. Das muss gesetzlich 
klargestellt werden.” 

Herrmann hielt dem entgegen, bei 
der Zeugensuche nach einem Mordver- 
such sollte man nach Auffassung von 
FDP und Grünen wohl „den Täter lieber 
laufen lassen, anstatt die Gästedaten 
beizuziehen?” Das sei „völlig absurd”. 
In dem Fall in Schwaben sei es um Leben 
und Tod gegangen. „Einen vermissten 
Wanderer würden Herr Hagen und Frau 
Schulze wohl auch lieber seinem Schick- 
sal überlassen.” Martin Hagen konter- 
te am Wochenende über Social Media: 
„Sehr geehrter Herr Innenminister, (...) 
wenn künftig nur noch Max Muster- 
mann und Micky Maus im Restaurant 
einchecken, wird die Nachverfolgung 
von Infektionsketten unmöglich.” Und 
Katharina Schulze: „Unsachliche Pole- 
mik bringt uns nicht weiter. Mir geht es 


187 


um eine bundeseinheitliche Regelung, 
und dazu braucht es ein Begleitgesetz. 
Damit wird Klarheit für Wirtsleute und 
Gäste geschaffen, dass die erhobenen 
Daten nicht willkürlich, sondern nur 
zu explizit definierten Ermittlungs- 
zwecken verwendet werden dürfen.” 
Das Vertrauen in die Akzeptanz für die 
Corona-Verordnungen zu stärken „soll- 
te auch im Interesse des zuständigen 
Innenministers sein“. Der Landesdaten- 
schutzbeauftragte Thomas Petri mahnte 
ebenso eine bundesweit einheitliche Lö- 
sung an, auch wenn die Zweckentfrem- 
dung der Listen, „isoliert betrachtet”, 
rechtmäßig sei (Osel, „Deckmäntelchen 
Datenschutz”, SZ 20.07.2020, 28). 


Berlin 


Schlagabtausch wegen 
Teams und Skype 


Die Berliner Datenschutzbeauftrage 
Maja Smoltczyk hat vor der Nutzung 
der Videokonferenzsysteme Skype und 
Teams, die von Microsoft angeboten 
werden, gewarnt. Der Chefjurist von 
Microsoft Deutschland hat sich darauf- 
hin an Smoltczyk gewendet und diese 
aufgefordert, „unrichtige Aussagen (...) 
zu entfernen und zurückzunehmen”. 
Es geht um die grundsätzliche Frage, 
ob Behörden, Schulen und andere Un- 
ternehmen die Software von Microsoft 
legal einsetzen können. Der Streit ent- 
zündete sich an zwei Dokumenten, 
die Smoltezyk im April 2020 auf ihrer 
Webseite veröffentlichte. Beide enthal- 
ten Empfehlungen zur „Durchführung 
von Videokonferenzen während der 
Kontaktbeschränkungen“. Darin rät 
Smoltczyk Unternehmen, Behörden und 
anderen öffentlichen Einrichtungen da- 
von ab, die Microsoft-Dienste Teams und 
Skype zu verwenden. 

Am Morgen des 18.05.2020 waren bei- 
de Dokumente noch abrufbar; im Laufe 
des Vormittags wurden sie ohne weite- 
ren Hinweis entfernt. Eine Sprecherin 
der Datenschutzbeauftragten erklärte, 
die Behörde habe ein Schreiben von 
Microsoft erhalten, dessen Inhalt man 
prüfe. Microsoft betonte, dass es sich 
nicht um eine juristische Abmahnung 
handle, wie manche Medien berichtet 
hatten; der Brief entspräche inhaltlich 
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einer Pressemitteilung, die Microsoft 
bereits Anfang Mai veröffentlicht hat- 
te. Darin hieß es, dass Teams und Skype 
datenschutzkonform seien. Smoltczyks 
Einschätzung enthalte „missverständ- 
liche Aussagen und legt zum Teil unzu- 
treffende datenschutzrechtliche Wer- 
tungen zugrunde“. Eine Sprecherin sag- 
te, Microsoft habe um Richtigstellung 
gebeten und werde sich deswegen mit 
der Behörde austauschen. 

In den Ausführungen der Daten- 
schutzbehörde von Berlin war nicht 
völlig klar, was Microsoft vorgeworfen 
wird: „Die oben beschriebenen Risiken 
verbleiben jedoch ... Prominentes Bei- 
spiel sind die Dienstleistungen [von 
Microsoft und Skype]“. Im Abschnitt 
„Risiken“ wird gewarnt, „dass bei der 
Videokonferenz unbefugt mitgehört 
oder aufgezeichnet und die Inhalte 
weiter ausgewertet werden” könne. Ob 
Smoltczyk alle genannten Risiken auch 
auf Microsoft bezieht, oder nur die Ver- 
einbarkeit mit der europäischen Daten- 
schutz-Grundverordnung (DSGVO) an- 
zweifelt, blieb offen. 

Nach Überprüfung der Dokumente er- 
klärte die Datenschutzbehörde, es habe 
sich kein inhaltlicher Änderungsbedarf 
der Empfehlungen ergeben, die wieder 
ins Netz gestellt wurden. „Es wurden nur 
einige geringfügige Konkretisierungen 
an den Texten vorgenommen.” In Bezug 
auf Zoom geht aus dem Dokument indi- 
rekt hervor, woran sich die Datenschüt- 
zer unter anderem stören. Sie verweisen 
darauf, dass sich bei einem Rückgriff 
auf die internationale Datenschutzver- 
einbarung „Privacy Shield” die Zertifi- 
zierung auch auf Personaldaten erstre- 
cken müsse. Bei Zoom fehlt ein solches 
HR-Zertifikat. 

Warum die Microsoft-Dienste Teams 
und Skype den Voraussetzungen nicht 
entsprechen, wird in dem Dokument 
nicht im Detail erläutert. Allerdings 
kündigt die Behörde an, „in Kürze eine 
ausführlichere Übersicht mit detaillier- 
teren Angaben zu verschiedenen gän- 
gigen Anbietern von Videokonferenz- 
Diensten zu erstellen“. 

Die Stiftung Warentest hatte kurz zu- 
vor Videokonferenz-Systeme getestet 
und dabei die Datenschutzerklärungen 
untersucht. Diese ließen, so das Ergeb- 
nis, bei Microsoft „keine ernsthafte Be- 
fassung mit der DSGVO erkennen”. Den- 


noch landen Teams und Skype auf den 
Rängen 1 und 2, die Datensicherheit 
wird jeweils mit gut bewertet. Der Jour- 
nalist und Datenschutzexperte Matthias 
Eberl, der auf seiner Webseite eine Ana- 
lyse veröffentlichte, erklärte dazu, dass 
die schlampige Datenschutzerklärung 
völlig ausreiche: „Teams lässt sich nicht 
rechtskonform einsetzen, das ist keine 
Frage der Meinung.” Gemäß der Unter- 
suchung übertragen sowohl die Gratis- 
Version von Teams als auch die Variante 
für Bildungseinrichtungen Nutzerdaten 
an die Werbenetzwerke von Adobe und 
Google, obwohl Microsoft eine Verwen- 
dung von Kundendaten für Werbung 
ausschließt. 

Die Nachfrage nach Videokonferenz- 
Software ist seit Beginn der Corona- 
Krise stark gestiegen. Davon profitiert 
bislang hauptsächlich das vergleichs- 
weise kleine Zoom, doch große Tech- 
Unternehmen wie Facebook, Google 
und Microsoft haben schnell reagiert 
und ihre eigenen Dienste nachgerüstet. 
Jeder will ein Stück vom Video-Kuchen 
haben. Da kam die Warnung der Landes- 
datenschutzbeauftragten zur Unzeit. Im 
Hintergrund dieser Warnung steht die 
grundsätzliche Frage, welche kommer- 
zielle Software öffentliche Stellen wie 
Behörden, Schulen und Universitäten 
einsetzen sollen und dürfen. 2019 hatte 
etwa der hessische Beauftragte für Da- 
tenschutz Schulen zwischenzeitlich ver- 
boten, das Office-Paket Microsoft 365 zu 
nutzen. In Baden-Württemberg warnte 
der zuständige Datenschützer Stefan 
Brink vor Zoom und Microsoft und riet 
zu datenschutzfreundlichen Open- 
Source-Lösungen. Von der Debatte ist 
nicht nur Microsoft betroffen. So mein- 
te der Bundesbeauftragte für Daten- 
schutz Ulrich Kelber, „dass der Einsatz 
von Whatsapp für eine Bundesbehörde 
ausgeschlossen ist“. Der Messenger er- 
fasst zwar keine Inhalte, sammelt aber 
Verbindungsdaten: Wer schreibt wann 
und wie oft mit wem? Kelber vermutet, 
dass diese Daten beim Mutterkonzern 
Facebook landen. Whatsapp sagt, man 
gebe keine „Benutzer-Metadaten wei- 
ter, um Facebook-Profile zu erstellen 
oder Facebook-Produkte oder -Werbung 
anderweitig zu verbessern”. Dieses sehr 
spezifische Dementi lässt allerdings 
weitere Nutzungsmöglichkeiten offen. 
Es bedeutet nicht, dass gar keine Daten 
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an Facebook übermittelt werden (Hurtz, 
Microsoft schickt bösen Brief nach Ber- 
lin, www.sueddeutsche.de 18.05.2020; 
Teams & Co: Berliner Datenschutzbeauf- 
tragte legt im Streit mit Microsoft nach, 
www.heise.de 25.05.2020). 


Bayern 


Polizei macht fotografie- 
renden Rentner zum poten- 
ziellen Sexualtäter 


„Es begann harmlos mit den Tücken 
der modernen Technik und endete für ei- 
nen 78-jährigen Rentner mit einer erken- 
nungsdienstlichen Behandlung, einer 
Speichelabgabe für eine DNA-Analyse 
und der polizeilich gespeicherten Ein- 
schätzung, er könne sexuelle Interessen 
gegenüber Kindern haben.” So fasste der 
bayerische Datenschutzbeauftragte Tho- 
mas Petri einen speziellen Fall fehlgelei- 
teter Polizeiermittlung in seinem Tätig- 
keitsbericht 2019 zusammen, den er am 
25.05.2020 veröffentlichte. 

Der Betroffene hatte auf einem beleb- 
ten Spielplatz mit seinem Handy eine 
Hüpfburg fotografiert, um das Bild spä- 
ter seinem Enkel zu zeigen. Dabei erreg- 
te er offenbar Aufsehen und verstrickte 
sich anschließend nach Auffassung em- 
pörter Eltern in Bezug auf seine Motiv- 
lage in Widersprüche. Eine verständigte 
Streifenbesatzung stellte die Identität 
des Senioren fest, befragte ihn, stellte 
sein Mobiltelefon sicher und behandel- 
te ihn im Anschluss daran zur „Abwehr 
einer konkreten Gefahr” erkennungs- 
dienstlich. Die Beamten führten auch 
einen Mundhöhlenabstrich durch, um 
ein DNA-Identifizierungsmuster fest- 
zustellen. Gemäß Petri hatte die dabei 
dem Bürger ausgehändigte Rechtsbe- 
lehrung aber aufeine „nicht zutreffende 
Rechtsgrundlage nach der Strafprozess- 
ordnung“ verwiesen. Die Polizei verfügt 
zwar mit dem umstrittenen bayerischen 
Polizeiaufgabengesetz (PAG) prinzipiell 
über die weitgehende Befugnis, „ins- 
besondere Finger- und Handflächenab- 
drucke eines Betroffenen abzunehmen 
sowie Lichtbilder, Messungen und eine 
Personenbeschreibung” zu erstellen, 
aber nur, um eine unbekannte oder 
zweifelhafte Identität aufzuklären, eine 
Gefahr für ein bedeutendes Rechtsqut 
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abzuwehren oder Straftaten vorzubeu- 
gen, „sofern vom Verdächtigen eine 
Wiederholungsgefahr ausgeht“. 

Unter ähnlichen Voraussetzungen 
darf die Polizei Körperzellen Verdächti- 
ger entnehmen und eine DNA-Analyse 
durchführen. Petri: „Doch all diese Vo- 
raussetzungen trafen auf den hier kont- 
rollierten Rentner nicht zu, insbesonde- 
re ging von ihm keine ‚konkrete Gefahr’ 
aus.” Ein strafrechtlicher Tatvorwurf sei 
gar nicht erhoben worden, belastende 
Vorerkenntnisse hätten nicht vorgele- 
gen. Trotzdem habe der Hobby-Fotograf 
erst mehrere Stunden nach dem eigent- 
lichen Geschehen nach einer „eindring- 
lichen Ansprache“ die Polizeidienststel- 
le wieder verlassen dürfen. Die über den 
Rentner gewonnenen Informationen 
gaben die Vollzugsdiener an ein für Se- 
xualdelikte zuständiges Kommissariat 
weiter. Obwohl die dortigen Ermittler 
zu dem Schluss kamen, dass keine Hin- 
weise auf eine sexuelle Motivation des 
Betroffenen vorlagen, zog der Vorfall 
laut dem Bericht „auf Landes- und sogar 
Bundesebene zahlreiche Speicherun- 
gen zur ‚polizeilichen Gefahrenabwehr’ 
nach sich”. 

Das sichergestellte Smartphone er- 
hielt der Rentner rund einen Monat spä- 
ter wieder. Mit seinem Einverständnis 
war darauf eine Videosequenz gelöscht 
worden, obwohl Petri zufolge „weder 
rechtlich problematische Daten noch 
Aufnahmen der besagten Kinder von 
der Hüpfburg darauf erkennbar waren”. 
Als der betagte Verdächtige später ei- 
nen Auskunfts- und Löschungsantrag 
an das Bayerische Landeskriminalamt 
(LKA) sandte, lehnte dieses das Be- 
gehr im Kern ab. Das LKA begründete 
dies mit der konkreten Gefahr, dass er 
weitere Hemmschwellen abbauen und 
aus einer sexuellen Motivation heraus 
Kinder fotografieren werde. Petri wider- 
sprach und stellte klar, „dass eine erste 
Abklärung des Sachverhalts geboten 
war, um die Rechte der Kinder auf dem 
Spielplatz zu wahren”. Als sich jedoch 
frühzeitig herausgestellt hatte, dass 
der Rentner „keine gezielten Aufnah- 
men von Kindern gefertigt hatte und 
auch sonst nichts auf eine sexuelle Mo- 
tivation“ hingedeutet habe, „hätte die 
Polizei die Situation allerdings sofort 
neu bewerten müssen”. Seinem Appell, 
„die gespeicherten personenbezogenen 


Daten unverzüglich zu löschen und die 
zu dem Betroffenen geführten Akten zu 
vernichten, wurde schließlich im vollen 
Umfang Folge geleistet”. Petri erinner- 
te das Polizeipräsidium daran, dass die 
Ermittler Daten aus polizeilichen Infor- 
mationssystemen prinzipiell von sich 
aus spätestens dann löschen müssten, 
wenn eine Speicherung nicht mehr er- 
forderlich sei. Ein Antrag einer mögli- 
cherweise betroffenen Person sei dafür 
nicht nötig (Krempl, Datenschutz in 
Bayern: Rentner knipst Hüpfburg, wird 
als Sexualgefährder erfasst, www.heise. 
de 25.05.2020, Kurzlink: https://heise. 
de/-4728207). 


Nordrhein-Westfalen 


Tönnies-Adressenliste gehen 
an Pflegeeinrichtungen 


Das von Karl-Josef Laumann (CDU) 
geleitete nordrhein-westfälische Ge- 
sundheitsministerium wies per Erlass 
vom 21.06.2020 die Verteilung einer 
Tönnies-Liste der Wohnadressen der 
Beschäftigten bei Pflegeeinrichtungen 
an. Daraufhin reichten die Gesundheits- 
behörden in drei Regierungsbezirken 
die Liste der vom Corona-Ausbruch 
betroffenen Beschäftigten am Stand- 
ort Rheda-Wiedenbrück an Hunderte 
Pflegeeinrichtungen weiter. Das Ge- 
sundheitsministerium bestätigte, dass 
die Einrichtungen auf dieser Grundlage 
„schnellstmöglich den erforderlichen 
Abgleich zu den Wohnorten ihrer Be- 
schäftigten durchführen” sollten, um 
Überschneidungen schnellstmöglich 
zurückzumelden. 

In den Regierungsbezirken Detmold, 
Arnsberg und Münster erreichte die 
Liste mit den Wohnanschriften von 
über 7.400 Tönnies-Beschäftigten dar- 
aufhin zahlreiche Empfänger. Allein in 
der Stadt Dortmund erhielten 164 Ein- 
richtungen außerhalb von Behörden 
das Excel-Dokument. Auch der Kreis 
Warendorf und der Kreis Paderborn be- 
stätigten die dortige Weiterleitung an 
Einrichtungen. In dem Dokument sind 
zwar keine Namen enthalten, es lässt 
aber Rückschlüsse auf Beschäftigte zu. 

Der Datenschutzbeauftragte des Lan- 
des NRW prüft anlässlich mehrerer Be- 
ratungsanfragen den Sachverhalt. Eine 
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abschließende rechtliche Bewertung 
liegt noch nicht vor. Das Gesundheitsmi- 
nisterium gibt an, dass es die Weiterlei- 
tung der Listen vom Infektionsschutzge- 
setz und dem Wohn- und Teilhabegesetz 
gedeckt sehe. Die Datenschutz-Grund- 
verordnung stehe der Maßnahme nicht 
im Wege. Es sei besonderer Eilbedarf ge- 
geben, um Bewohner der Einrichtungen 
vor der Corona-Pandemie zu schützen. 

Datenschutzinitiativen üben hinge- 
gen scharfe Kritik am Vorgehen. Thilo 
Weichertvon derDeutschen Vereinigung 
für Datenschutz erklärte: „Die Weiterga- 
be derListen ist eindeutig unverhältnis- 
mäßig und deshalb rechtswidrig.” Dafür 
spiele es keine Rolle, dass Betroffene 
nicht namentlich genannt werden. Es 
handele sich um „eine umfangreiche 
Vorratsdatenübermittlung” von sensi- 
tiven Gesundheitsdaten. Geringer ein- 
schneidende Maßnahmen zum Schutz 
der Bewohner von Pflegeheimen seien 
möglich gewesen. Auch Frederick Rich- 
ter von der Stiftung Datenschutz äußer- 
te Zweifel an den Rechtsgrundlagen: 
„Wenn personenbezogene Daten an di- 
verse private Einrichtungen verteilt wer- 
den, kann das unnötige Risiken für die 
Rechte der Betroffenen haben. Es muss 
geprüft werden, ob die Rechtsgrundlage 
eine solch großflächige Verteilung von 
Beschäftigtendaten an private Einrich- 
tungen tatsächlich erlaubt.” Die Kon- 
taktnachverfolgung sei allein Sache der 
Gesundheitsämter (Mueller-Töwe, Eklat 
um Tönnies-Adressliste - Ministerium 
ordnete Verteilung an, www.t-online.de 
29.06.2020). 


Nordrhein-Westfalen 


Alte Krankenhaus-Patien- 
tenakten frei zugänglich 


Ein Video auf dem Youtube-Kanal „Its- 
Marvin” über offenbar unzureichend ge- 
sicherte Patientenakten in einer verlas- 
senen Klinik in Büren hat für viel Wirbel 
gesorgt. Unter dem Titel „Lostplaces: Un- 
glaublich! Dieses Krankenhaus ist zehn 
Jahre zu” ist seit dem 29.05.2020 zu se- 
hen, wie der Youtuber ein Krankenhaus 
durch eine unverschlossene Gebäudetür 
betritt und sein Begleiter dort frei in Pa- 
tientenakten und Röntgenbildern blät- 
tern kann. Die Polizei ermittelt seitdem 


190 


nach eigenen Angaben mit Hochdruck, 
wie ein Sprecher am 03.06. mitteilte. Die 
Stadtnahe Paderborn zeigte sich empört. 
Bürens Bürgermeister Burkhard Schwu- 
chow (CDU) kritisierte es als „in keinster 
Weise akzeptabel”, dass schützenswerte 
Personendaten aus Patientenakten des 
ehemaligen St. Nikolaus-Hospitals nicht 
vor einem unbefugten Zugriff gesichert 
gewesen seien. Dass dort „sensible Akten 
weder sachgerecht noch datenschutz- 
konform aufbewahrt wurden, war der 
Stadt Büren nicht bekannt”. 

Auf der Homepage der Stadt heißt es 
weiter, die Klinik sei in kirchlicher, da- 
nach ab 2005 bis zur insolvenzbedingten 
Schließung 2010 in privater Trägerschaft 
der Marseille Kliniken AG (MK) gewesen. 
Die Verantwortung liege bei der Eigentü- 
merin der geschlossenen Klinik, so der 
Bürgermeister: „Die beiden Räume, in 
denen die Patientenakten aufbewahrt 
sind, wurden am Samstag auf Initiative 
der Stadt und im Beisein der Polizei so 
verschlossen, dass niemand an die Ak- 
ten gelangen kann, ohne einen erhebli- 
chen Aufwand zu betreiben.” Das habe 
man gemacht, um die vertraulichen Pa- 
tientendaten so schnell wie möglich vor 
„fremden Händen zu schützen”, alles 
weitere sei nun Sache des Eigentümers. 
Eigentümer ist die Grundstückgesell- 
schaft Nikolaus Büren, die ihrerseits wie- 
der der Marseille-Kliniken AG gehört. 

Der Anwalt des Krankenhausbetreibers 
teilte aber mit, verantwortlich sei der 
Insolvenzverwalter. Nach der Insolvenz 
der Tochter der MK-Kliniken habe der be- 
auftragte Bielefelder Insolvenzverwalter 
Norbert Westhoff die Aufgabe erhalten, 
in der Klinik Inventar auszubauen und 
zu verkaufen. „Auch die Krankenakten 
gehören zum Inventar der insolventen 
Betreibergesellschaft. Für deren ord- 
nungsgemäße Entsorgung und Lagerung 
ist der Insolvenzverwalter verantwort- 
lich“. Dieser sei aufgefordert worden, da- 
für nun auch Sorge zu tragen. 

Die Polizei hat gemäß eigenen Anga- 
benin dem Fall eine Strafanzeige wegen 
des Verdachts auf Hausfriedensbruch 
erhalten. Es werde aber auch geprüft, ob 
weitere strafrechtlich relevante Sach- 
verhalte vorliegen könnten. Details 
nannte der Sprecher nicht - auch nicht, 
gegen wen sich die Ermittlungen rich- 
teten. Der 29-jährige Youtuber, der das 
Video gefilmt und publiziert hat, arbei- 


tet hauptberuflich in der Werbebranche. 
Sein Kanal hat 465.000 Abonnenten. Er 
erklärte, mit seinem Video die Stadt 
nicht an den Pranger stellen zu wollen, 
doch glaube er nicht, dass diese nicht 
von dem frei zugänglichen Gebäude ge- 
wusst hat: „Mir haben Leute geschrie- 
ben, dass sie sich an die Stadt gewandt 
hatten. Es ist doch schade, dass die 
Bürger offenbar einen besseren Draht 
zu mir haben als zum Bürgermeister.” 
Auch mit dem Eigentümer der verlasse- 
nen Klinik habe er Kontakt. Dieser habe 
ihm versichert, keine rechtlichen Maß- 
nahmen gegen ihn ergreifen zu wollen 
(Ungesicherte Patientenakten in Büren: 
Polizei ermittelt, www.sueddeutsche.de 
03.06.2020; Hunderte Patientenakten, 
frei zugänglich, SZ 04.06.2020, 8). 


Sachsen 


Verfassungsschutzchef we- 
gen Weigerung des Daten- 
löschens versetzt 


Nachdem sich der Chef des sächsi- 
schen Landesamtes für Verfassungs- 
schutz (LfV) Gordian Meyer-Plath ge- 
weigert hatte, Daten zu AfD-Rechtsau- 
ßen-Abgeordneten zu löschen, wurde 
er vom Innenminister des Freistaats 
Roland Wöller (CDU) ins Wissenschafts- 
ministerium versetzt. Acht Jahre lang 
war Meyer-Plath Chef des sächsischen 
Verfassungsschutzes. Linken war der 
konservative Geisteswissenschaftler 
und „Alte Herr“ einer Burschenschaft 
stets suspekt, immer wieder warfen sie 
ihm vor, zu wenig gegen Rechtsextre- 
mismus zu unternehmen. Nun verlor er 
seinen Job, offenbar wegen genau dem 
Gegenteil, nämlich weil er angeblich zu 
forsch gegen mögliche Rechtsextremis- 
ten in den Reihen der AfD vorging. An 
die Spitze des Verfassungsschutzes in 
Sachsen rückt mit Dirk-Martin Christian 
nun ausgerechnet jener Jurist aus dem 
Innenministerium, der Meyer-Plath 
als Referatsleiter im Innenministerium 
und damit als Aufsicht gebremst hatte. 
Wöller erklärte wegen der erfolgenden 
öffentlichen Diskussion: „Die Indis- 
kretionen sind haltlos.” Es sei Anzeige 
wegen Verrat von Dienstgeheimnissen 
erstattet worden. 

Der Vorgang sorgt auch in den ande- 
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ren deutschen Verfassungsschutzäm- 
tern für Aufregung, wo man nicht nach- 
vollziehen kann, warum Sachsen beim 
Umgang mit der AfD ausschert, zumal 
der dortige Landesverband maßgeblich 
vom sogenannten „Flügel“ geprägt wird. 
Das Bundesamt für Verfassungsschutz 
(BfV) hat die völkische AfD-Strömung 
im Frühjahr 2020 als „erwiesen extre- 
mistisch” eingestuft. In einem vertrau- 
lichen BfV-Gutachten wurden mehrere 
AfD-Politiker aus Sachsen als „Flügel”- 
Anhänger benannt, darunter Landes- 
und Fraktionschef Jörg Urban und der 
Bundestagsabgeordnete Jörg Maier. 

Das Innenministerium in Dresden be- 
fand jedoch, dass das LfV Daten zu ins- 
gesamt acht AfD-Abgeordneten löschen 
muss, darunter die zu Bundesparteichef 
Tino Chrupalla; Mandatsträger seien be- 
sonders geschützt. Behördenchef Mey- 
er-Plath weigerte sich, weil dadurch der 
Freistaat „in einem der dynamischsten 
Felder des modernen Rechtsextremis- 
mus“ seine „Arbeit einstellen” würde, 
wie erin einem Schreiben warnte. 

Im Innenausschuss des Landtags 
rechtfertigte Sachsens Innenminister 
Wöller am 02.07.2020 das Vorgehen 
seines Hauses. Teilnehmer der Sitzung 
berichten, der Minister habe seinen Ge- 
heimdienst dort „inden Senkelgestellt”. 
Das Amt habe rechtswidrig Daten über 
AfD-Abgeordnete gesammelt. Gegen- 
über der Aufsicht im Innenministerium 
habe sich der Dienst beratungsresistent 
gezeigt und die Speicherung nur unzu- 
reichend begründet. Dies habe zu der 
Weisung geführt, die Datensammlung 
zu löschen. Der neue Geheimdienstchef 
Christian erklärte: „Man kann nicht die 
Verfassung schützen und selbst Verfas- 
sungsbruch begehen”. Hintergrund ist 
das Ramelow-Urteil des Bundesverfas- 
sungsgerichts von 2013. Der Linken- 
Politiker stand jahrelang auf der Beob- 
achtungsliste des Verfassungsschutzes 
(DANA 1/2014, 45 f.). Christian meinte, 
Abgeordnete müssten ihre Aufgabe frei 
von staatlicher Kontrolle ausüben kön- 
nen. Der Demokratie sei nicht gedient, 
wenn Menschen auf Verdacht und ohne 
Rechtsgrundlage beobachtet würden. 

Der Grünen-Innenpolitiker Valen- 
tin Lippman sprach von einem „unge- 
heuerlichen Vorgang”. Der sächsische 
Verfassungsschutz habe sich „offenbar 
verselbständigt und mit verfassungs- 
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rechtlich fragwürdigen Methoden gear- 
beitet. Der Fall zeigt einmal mehr, dass 
Einiges im Landesamt für Verfassungs- 
schutz im Argen liegt.” Seine Partei re- 
giert in Sachsen mit. Auch wenn er hier 
das Geschäft der AfD betreibe, so Lipp- 
mann, sei es „richtig gewesen, dass die 
Fachaufsicht hier eingeschritten ist“. 
Die Linke-Innenexpertin Kerstin Köditz 
hatte nach der Sitzung den Eindruck, 
der Verfassungsschutz sei „zu dämlich” 
gewesen, das Speichern der Daten von 
AfD-Abgeordneten zu begründen. Über 
Innenminister Wöller meinte er: „Er 
ist für das Landesamt für Verfassungs- 
schutz verantwortlich und sieht seit 
Jahren dabei zu, wie es beim Kampf ge- 
gen Rechts herumstümpert.” 

Für die AfD ist der Vorgang ein gefun- 
denes Fressen; sie empörte sich umge- 
hend über eine „illegale Bespitzelung”. 
Dabei teilt keines der anderen Verfas- 
sungsschutzämter die restriktive Auffas- 
sung des Dresdner Innenministeriums. 
Bei der Frage, wann Daten über Abgeord- 
nete erhoben werden dürfen, orientieren 
sich die Dienste bundesweit an einem 
einheitlichen Schema. Verfassungs- 
schützern außerhalb Sachsens war schon 
länger aufgefallen, dass Meyer-Plath der 
Rückhalt seines Ministeriums fehlte, er 
wohl gern mehr gegen die neuen Formen 
des Rechtsextremismus unternehmen 
wollte, aber nicht durfte (Schmid/Win- 
ter/Wiedmann-Schmidt, Ausgebremst, 
www.spiegel.de, 02.07.2020; Nimz, 
Sächsische Prüffälle, SZ 03.07.2020, 6). 


Schleswig-Holstein 


Datenschützerin Hansen 
rehabilitiert und wiederge- 
wählt 


Die Leiterin des Unabhängigen Lan- 
deszentrums für Datenschutz Schles- 
wig-Holstein (ULD) Marit Hansen hat 
in einem Verfahren beim Oberlandesge- 
richt Schleswig (OLG) durch Urteil vom 
26.06.2020 Wiedergutmachung gegen 
die Staatsanwaltschaft Kiel bzw. das 
Justizministerium Schleswig-Holstein 
erlangt (Az. 17 EK 2/19). Hintergrund 
sind fast vier Jahre dauernde, 2019 ein- 
gestellte strafrechtliche Ermittlungen 
wegen mutmaßlichen Betrugs bei der 
Abrechnung von Projektfördermitteln. 


Hansen warf der Staatsanwaltschaft 
vor, das im Oktober 2015 eingeleitete 
Verfahren verzögert und ihr persönlich 
wie der Dienststelle des ULD geschadet 
zu haben. Die Ermittlungen seien „von 
Pleiten und Pannen” geprägt gewesen. 
Das OLG gab ihr inhaltlich vollumfäng- 
lich Recht. Am 18.06.2020, also kurz 
vor der OLG-Entscheidung, wurde Han- 
sen einstimmig vom Landtag Schleswig- 
Holstein für eine zweite Amtsperiode 
wiedergewählt. Durch ein Konkurren- 
tenverfahren wurde zunächst ihre Er- 
nennung durch den Ministerpräsiden- 
ten mit einer einstweiligen Anordnung 
des Verwaltungsgerichts Schleswig (VG) 
verhindert. 


Ex-Mitarbeiter provoziert 
Ermittlungsverfahren 

Schon der Umstand, dass aufgrund ei- 
ner dünnen einseitigen Verdächtigung 
eines ehemaligen ULD-Mitarbeiters 
vom Amtsgericht auf Antrag der Staats- 
anwaltschaft ein Durchsuchungsbe- 
schluss in der unabhängigen Daten- 
schutzbehörde initiiert worden war, ist 
wohl einzigartig in der Geschichte des 
Datenschutzes in Deutschland. Bei der 
Durchführung der Durchsuchung waren 
Datenbestände mitgenommen worden, 
deren Beschlagnahme von dem Ge- 
richtsbeschluss nicht gedeckt gewesen 
war. Der zuständige Staatsanwalt habe, 
so Hansens Vorwurf, zwei Zeugen ohne 
Aussagegenehmigung vernommen. 
Eine wichtige entlastende Information 
wurde mehr als 11 Monate nicht zu den 
Akten genommen. Die Ermittler hatten 
sich durch die Anzeige des gekündigten 
ULD-Mitarbeiters auf eine falsche Spur 
bringen lassen, so Hansen: „Der An- 
fangsverdacht beruhte aufgravierenden 
Fehlinformationen.” 

Die Vorwürfe Hansens werden durch 
die Überprüfung der ULD-Abrechnungs- 
praxis durch das Bundesforschungsmi- 
nisterium (BMBF) gestützt sowie durch 
eine Entscheidung des Amtsgerichts 
Kiel, das der ULD-Chefin vom Grunde 
her einen Entschädigungsanspruch zu- 
billigte. Das OLG rehabilitierte nun die 
Datenschutzbeauftragte. 


Hansen fordert Aufklärung und 
Entschuldigung 

Die 50-jährige Diplom-Informatikerin 
Hansen sah sich durch die 44 Monate 
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langen Ermittlungen, über die in den 
Medien berichtet worden war, in ihrem 
Ruf beschädigt und die Arbeit des ULD 
beeinträchtigt. Mit ihrer Klage, die sich 
formal gegen das zuständige Justizmi- 
nisterium des Landes richtete, wurde 
ihr vom OLG bestätigt, dass die Dau- 
er des Verfahrens unangemessen war 
und dies der Staatsanwaltschaft auch 
bewusst war: „Eine Strafverfolgungs- 
behörde in einem Rechtsstaat darf Er- 
mittlungen nicht verschleppen“. Sie ist 
auch darüber verärgert, dass die Staats- 
anwaltschaft in der Begründung der 
Verfahrenseinstellung die Möglichkeit 
einer geringen Schuld offengelassen 
hat: „Alle Abrechnungen waren sauber, 
und das ist auch belegt.” 

Ende Oktober 2015 hatte der Ex- 
Mitarbeiter des ULD Strafanzeige ge- 
gen die Datenschutzbeauftragte er- 
stattet und ihr sowie einem weiteren 
ULD-Mitarbeiter vorgeworfen, bei der 
Abrechnung von öffentlich geförder- 
ten Forschungsprojekten betrogen zu 
haben. Arbeitszeiten und Auslagen 
seien als projektbezogen angegeben 
und abgerechnet worden, obwohl sie 
es nicht gewesen seien. Hansen habe 
Mitarbeitende aufgefordert, Zeiten und 
Auslagen falsch zu erfassen. Mit die- 
sen unzutreffenden Aufwänden hätten 
dann Hansen und ihrer Mitarbeiter zu 
Unrecht Fördergelder für das ULD er- 
schlichen. Die Staatsanwaltschaft nahm 
einen Anfangsverdacht an und erwirkte 
den richterlichen Beschluss, der es Er- 
mittlern des Landeskriminalamtes und 
der Staatsanwaltschaft ermöglichte, 
im ULD eine Razzia durchzuführen und 
Akten und Datenträger zu beschlagnah- 
men. Danach wurde das Verfahren nicht 
weiterbetrieben. Die ULD-Chefin legte 
viermal erfolglos hiergegen Beschwer- 
de ein. Dreimal wechselte im Laufe der 
zuständige Staatsanwalt. Hansen, die 
auch beruflich darunter gelitten hatte, 
erklärt: „Dielange Zeit war sehr frustrie- 
rend für mich und meine Familie.” 


Die OLG-Entscheidung 

Das OLG bestätigte, dass das Ermitt- 
lungsverfahren gegen Hansen und ihren 
Mitarbeiter mit seiner Dauer wie seiner 
inhaltlichen Ausgestaltung unangemes- 
sen war. Damit war deren Anspruch auf 
eine effektive und der Unschuldsvermu- 
tung gerecht werdende Verfahrensge- 
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staltung verletzt worden. Es habe keine 
zielgerichtete Verfahrensplanung ge- 
geben, obwohl das Verfahren wegen der 
frühzeitig erfolgten Durchsuchung hätte 
beschleunigt durchgeführt werden müs- 
sen. Ihre Forderung nach einer finanziel- 
len Kompensation wies das OLG mit dem 
Argument zurück, Hansen habe sich im 
Vor- und Nachgang schon angemessen 
medial darstellen können. Dem ULD- 
Mitarbeiter wurde ein Schadenersatzan- 
spruch von 1.800 € zugesprochen. 


Staatsanwaltschaft und Politik 

Die Angelegenheit hat eine hohe poli- 
tische Brisanz: Das ULD ist unabhängi- 
ge Datenschutzaufsichtsbehörde für die 
Staatsanwaltschaft und die Ministerien. 
Die Staatsanwaltschaft ist nicht nur in 
diesem Fall ins Gerede gekommen, weil 
sie sich immer wieder dem Verdacht 
aussetzt, politisch zu agieren und sich 
gar politisch instrumentalisieren zu las- 
sen. Der Grünen-Innenpolitiker Burk- 
hard Peters erinnerte: „Ich denke da 
zum Beispiel an die Ermittlungen ge- 
gen die ehemalige Bildungsministerin 
Wara Wende oder an die frühere Kieler 
Oberbürgermeisterin Susanne Gasch- 
ke, die sofort mit einem Strafverfahren 
überzogen wurden. Die Ermittlungen 
gingen mit großem Getöse los. Am Ende 
blieb davon nicht viel übrig.” Wende 
und Gaschke gehören der SPD an. SPD- 
Fraktionschef Ralf Stegner erinnert 
an Durchsuchungsaktionen im Regie- 
rungsviertel „mit großem Blendwerk“, 
die ohne Ergebnis endeten, aber den Ruf 
der zu Unrecht Beschuldigten ruiniert 
hätten. Aktuell steht die von Brigitte 
Heß geleitete Staatsanwaltschaft in Kiel 
wieder im Fokus eines politischen Kon- 
fliktes, bei dem es um Konflikte in der 
Polizei des Landes geht und die jüngst 
dem bisherigen Innenminister Hans- 
Joachim Grote das Ministeramt koste- 
ten und der Polizeibeauftragten Samiah 
El Samadoni eine Dienstaufsichtsbe- 
schwerde und einen Strafantrag gegen 
Unbekannt einbrachte, weil Inhalte aus 
einem Vieraugengespräch mit ihr bei 
einem Polizeigewerkschafter gelandet 
waren. Polizeibeamte hatten sich zuvor 
wegen Mobbings an El Samadoni ge- 
wandt; Grote hatte es sich zur Aufgabe 
gemacht, die Landespolizei zu reformie- 
ren. Das ULD ist nun aufgefordert, die 
Umstände des Grote-Rücktritts daten- 


schutzrechtlich zu durchleuchten. Da- 
bei geht es u.a. um die Weitergabe sog. 
Bestra-Berichte und um eine mögliche 
Verletzung des Briefgeheimnisses. 

Zu den Vorwürfen einer politisie- 
renden Strafverfolgung wollte sich die 
Staatsanwaltschaft selbst nicht äu- 
ßern: Sie nehme nicht an politischen 
Diskussionen teil. Die Landesvorsit- 
zende des Richterverbands Christine 
Schmehl nannte dagegen die Vorhal- 
tungen einen „Schlag ins Gesicht” für 
viele Mitarbeiter in der Strafverfolgung 
und „Wasser auf den Mühlen von Ver- 
schwörungstheoretikern“. 

Erst zum Ende des inzwischen einge- 
stellten Strafverfahrens hatte die Staats- 
anwaltschaft auf Nachfrage dem angeb- 
lich geschädigten Bundesforschungs- 
ministerium die Ermittlungsakten zur 
Verfügung gestellt. Dort gab man eine 
vertiefte Prüfung der Fördermittelver- 
wendung in Auftrag. Ein dreiköpfiges 
Prüfteam aus Berlin war im Oktober 2019 
mehrere Tage vor Ort und durchleuchtete 
die Abrechnungen zahlreicher Projek- 
te. Ergebnis: keinerlei Fehler, schon gar 
nicht irgendein Betrug. Hansen zeigte 
sich frustriert darüber, dass dieser Sach- 
verstand nicht frühzeitig genutzt wurde: 
„Dann hätten sich die Vorwürfe schnell 
aufklären lassen.” Es könnten Fehler 
gemacht werden: „Aber dann muss man 
auch dazu stehen und sich möglicher- 
weise entschuldigen.” Dafür sieht man 
bei der Staatsanwaltschaft keine Veran- 
lassung. Das Verfahren, so Oberstaats- 
anwalt Henning Hadeler, sei „stets an- 
gemessen gefördert” worden. Die Dauer 
begründet er mit dem „besonderen Um- 
fang” durch dienotwendige Vernehmung 
zahlreicher Zeugen und Sachverständi- 
ger, zeitintensiver Auswertetätigkeit bei 
der Polizei sowie der Schwierigkeit der 
Rechtslage. 


Hansen gewählt und nicht ernannt 
Nachdem sich die OLG-Entscheidung 
inhaltlich schon anlässlich der mündli- 
chen Verhandlung abgezeichnet hatte, 
war Hansen aufVorschlag der FDP-Frakti- 
on am 18.06.2020 einstimmig von Land- 
tag Schleswig-Holstein wiedergewählt 
worden, ohne dass Ministerpräsident 
Daniel Günter (CDU) sie im Anschluss 
ernennen konnte. Ihre erste Amtszeit 
endete nach den Berechnungen der 
Landtagsverwaltung Mitte Juli 2020. Das 
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Gesetz sieht vor, dass sie ein halbes Jahr 
nachdienen darf, so dass eine Ernennung 
bis Mitte Januar für eine ununterbroche- 
ne Tätigkeit möglich ist. 

Grund für die ‚Verzögerung ist eine 
einstweilige Anordnung, die einer der 
zwei weiteren Bewerbenden beim VG 
Schleswig beantragt hatte. Bei dem 
Antragsteller handelt es sich um den 
ehemaligen ULD-Mitarbeiter, der das 
44-monatige Strafverfahren gegen Han- 
sen initiiert hatte. FDP-Fraktionschef 
Christopher Vogt kommentierte die 
gerichtliche Intervention: „Wir sehen 
der Konkurrentenklage gelassen ent- 
gegen.” Er habe den Eindruck, dass der 
Kläger „nicht in der Liga von Frau Han- 
sen spielt”. Der FDP-Jurist Jan Marcus 
Rossa meinte, dass es sich bei der Po- 
sition der Landes-Datenschutzbeauf- 
tragten nicht um ein öffentliches Amt 
im Sinne des Grundgesetzes handele, 
sondern um ein Wahlamt: „Wahlämter 
haben eigene Regeln.” Garantiert wer- 
den müsse ein transparentes Verfahren. 
Eine Fraktion schlägt den Bewerber vor, 
das Parlament wählt ihn, die Regierung 
spricht die Ernennung aus. Die Landes- 
regierung müsse sich innerhalb der Frist 
äußern. Derweil zeigte sich Hansen mit 
ihrer Wahl zufrieden: „Das Gericht hat 
nicht die Wahl gestoppt. Die Wahl war 
so eindeutig, dass es klar ist, was das 
Parlament möchte” (Marit Hansen ge- 
wählt, aber noch nicht ernannt, Kieler 
Nachrichten - KN - 19.06.2020, 11; 
Metschies, Oberste Datenschützerin 
verklagt das Land, KN 23.05.2020,12; 
Holbach, Die Staatsanwaltschaft und 
die Politik, KN 16.05.2020, 14; Presse- 
mitteilung OLG Schleswig Nr. 6/2020 v. 
26.06.2020). 


Thüringen 


Hasse spricht von Bußgel- 
dern gegen Lehrer wegen un- 
erlaubtem Softwareeinsatz 


Der Thüringer Datenschutzbeauf- 
tragte Lutz Hasse hat wegen möglichen 
Verstößen von Lehrkräften gegen den 
Datenschutz beim Digitalunterricht 
während der Corona-Krise von Bußgel- 
dern von bis zu 1.000 Euro gesprochen 
und sich dadurch viel öffentliche Kritik 
eingehandelt. Hasse erklärte, ihn hät- 
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ten „Hinweise erreicht” zurVerwendung 
von nicht zugelassener Software oder 
Kommunikationsplattformen. Es geht 
um die Frage, welche Software, Cloud- 
speicher und Plattformen Lehrkräfte 
nutzen dürfen. Hasse nannte als Nega- 
tivbeispiel Whatsapp und wollte „aus 
wettbewerblichen Gründen” keine wei- 
teren Namen nennen. Gemeint sind wohl 
Videodienste wie Zoom oder Microsoft 
Teams oder private Gmail-Konten, über 
die Schüler und Lehrer kommunizieren. 

In Thüringen gibt es eine Schulplatt- 
form, über die zum Beispiel Hausauf- 
gaben hochgeladen werden können. 
Zudem verfügen Lehrer über spezielle 
E-Mail-Postfächer. Wenn ein Lehrer da- 
rüber hinaus andere digitale Werkzeuge 
verwenden will, muss er eigentlich bei 
der Schulleitung eine Genehmigung 
einholen. Die wiederum muss beim zu- 
ständigen Ministerium anfragen. Und in 
jedem Fall muss der Datenschutzbeauf- 
tragte die Sicherheit dieser Werkzeuge 
prüfen. Lutz Hasse: „Während des digi- 
talen Unterrichts haben uns diesbezüg- 
lich mehr als 30 Anfragen von Lehrern 
und Schulen erreicht.” Auch in Zeiten 
wie diesen, so Hasse, sei man eben an 
geltendes Recht gebunden. 

Trotzdem müsse jetzt kein Lehrer be- 
fürchten, dass ihn einfach so ein Buß- 
geldbescheid erreicht. Zunächst müsse 
geprüft werden, ob der Fehler beim ein- 
zelnen Lehrer oder bei der Schulleitung 
liege. Und dann würde er zunächst das 
Gespräch suchen, um den Sachverhalt 
aufzuklären: „Aber ich kann als Daten- 
schutzbeauftragter eben auch nicht bei- 
de Augen zudrücken.” 

Bildungsminister Helmut Holter (LIN- 
KE) bezeichnet das Vorgehen Hasses als 
beunruhigend und nicht akzeptabel. 
Eine Verunsicherung von Lehrern sei der 
schlechteste Weg zu guter Bildung und 
zu gutem Datenschutz. Datenschutzbe- 
denken sollten gemeinsam geklärt wer- 
den. Von einem Schlag ins Gesicht enga- 
gierter Lehrerinnen und Lehrer sprach 
die Gewerkschaft Erziehung und Wis- 
senschaft Thüringen (GEW). Die GEW- 
Landesvorsitzende, Kathrin Vitzthum, 
forderte vom Datenschutzbeauftragten, 
die Pädagogen zu beraten, statt Bußgel- 
der zu prüfen. Von einem völlig falschen 
Signal in die Lehrerschaft sprach auch 
die Thüringer Landeselternvertretung. 
Die aktuelle Situation erfordere ein Mit- 


einander, kein Gegeneinander, Konzep- 
te statt Schuldzuweisungen, Unterstüt- 
zung statt Verunsicherung. 

Ähnlich äußerte sich der Bildungsex- 
perte der CDU-Landtagsfraktion, Chris- 
tian Tischner. Lehrern mit Bußgeldern 
zu drohen und sie dadurch zu verun- 
sichern, sei definitiv der falsche Weg. 
Bei den flächendeckenden Schulschlie- 
Rßungen im März habe es zunächst keine 
landesweite Plattform für den digitalen 
Unterricht gegeben. Das Engagement 
und die Kreativität im Nachhinein zu 
bestrafen, sei ganz und gar kontrapro- 
duktiv. Es war von einer „Hexenjagd auf 
Lehrerinnen und Lehrer” die Rede. Ähn- 
lich die FDP-Fraktion im Landtag. Deren 
bildungspolitische Sprecherin, Fran- 
ziska Baum, forderte vom Bildungsmi- 
nisterium praxistaugliche Anleitungen 
zum Datenschutz für den Digitalunter- 
richt und damit Rechtssicherheit für 
Lehrer und Eltern. Es könne nicht sein, 
dass die Verantwortung an dieser Stelle 
bei den Lehrern hängen bleibt. Der Bil- 
dungsausschuss des Landtags befass- 
te sich umgehend mit dem Thema. Der 
Bundesdatenschutzbeauftragte Ulrich 
Kelber hielt es für eine „Selbstverständ- 
lichkeit, dass ein Landesdatenschutzbe- 
auftragter seinem gesetzlichen Auftrag 
nachkommt” und Hinweisen nachgehe. 
Die Aufregung, dass es bei unverhält- 
nismäßigen Verstößen auch Bußgelder 
geben könnte, sei unbegründet (Kritik 
nach Androhung von Bußgeldern gegen 
Lehrer, www.mdr.de 04.06.2020; Hurtz, 
Bittere Lektion, SZ 06./07.06.2020, 9). 


Aufgespießt 


Datenfreiheit für 
Kommunarden! 


Der 79jährige Ex-Kommunarde Rainer 
Langhans plädierte für das freizügige 
Teilen persönlicher Daten im Internet: 
„Gebt alle Daten frei.” Wer ängstlich 
über seine Daten und sein Eigentum da- 
ran wache, sei wie jemand, der auf sei- 
nem Geld sitze: „Leider haben die Leute 
noch immer Angst vor der Freiheit, vor 
der Liebe.” Das Internet biete hier eine 
neue Dimension: „Die höchste Form der 
Kommunikation ist Liebe. Der besitzbe- 
freite große Datenverkehr miteinander 
ist Liebe“ (SZ 15.06.2020, 8). 
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Weltweit 


Oracle-Tracking-Datenbank 
öffentlich im Netz 


Eine Tracking-Datenbank der Oracle- 
Tochter BlueKai mit persönlichen Infor- 
mationen und Profilen auch deutscher 
Webnutzer stand offen im Netz. Weitge- 
hend unbemerkt von der Öffentlichkeit 
verfolgt der Datenbankkonzern die Spu- 
ren von Online-Nutzern und baute so 
ein umfangreiches Tracking-Netzwerk 
auf. Die massive Datenpanne gab nun 
Einblicke in die entsprechenden Akti- 
vitäten des Konzerns aus dem Silicon 
Valley. Die Panne hat der Sicherheitsfor- 
scher Anurag Sen entdeckt. Auf einem 
ungesicherten, ohne Passwort zugäng- 
lichen Server stieß der Experte auf ein 
Verzeichnis mit Milliarden personenbe- 
zogener Datensätze, die für jedermann 
offen einsehbar waren. 

Sen hat Oracle über seinen brisanten 
Fund informiert, die klaffende Sicher- 
heitslücke ist der Firma zufolge geschlos- 
sen. Gemäß Recherchen der Presse, die 
Zugang zu der Datenbank hatte, enthielt 
diese Namen, Anschriften, E-Mail-Adres- 
sen und andere personenbeziehbare Da- 
ten von Nutzern aus aller Welt. Darunter 
seien auch sensible Browsing-Verläufe 
gewesen, die von Shopping-Touren im 
Web bis zu Abbestellungen von Newslet- 
ter-Abonnements reichten. 

Bennett Cyphers von der US-Bürger- 
rechtsorganisation Electronic Frontier 
Foundation (EFF) erklärte: „Man kann 
es kaum beschreiben, wie aufschluss- 
reich einige dieser Daten sein können.” 
Fein abgestufte Aufzeichnungen über 
die Surfgewohnheiten von Menschen 
im Web könnten Hobbys, politische 
Vorlieben, Einkommensklassen, den Ge- 
sundheitszustand, sexuelle Präferenzen 
und andere persönliche Details offen- 
baren. Die Aussagekraft nehme ständig 
zu, „da wir einen immer größeren Teil 
unseres Lebens online verbringen“. Die 
umfangreichen, als nicht-pseudonymi- 
sierte Rohdaten nach außen gedrun- 
genen Nutzerspuren hat Oracle dem Be- 
richt nach vor allem über seine Tochter 
BlueKai zusammengetragen. Das Un- 
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ternehmen hatte das Start-up 2014 für 
gut 400 Millionen US-Dollar gekauft. 
Obwohl es außerhalb von Marketing- 
kreisen kaum bekannt ist, hat es mithil- 
fe von Cookies und anderen Tracking- 
Instrumenten wie Schnüffelpixeln auf 
Webseiten inklusive Porno-Portalen 
und in HTML-Mails einen großen ein- 
schlägigen Werbeverbund aufgebaut. 
Auf dem zugehörigen Markt für Profiling 
und personenbezogene Werbung gelten 
Google mit seinem Netzwerk Double- 
Click, Facebook und Amazon als noch 
größere Datensammelmaschinen. 

Die Zeitschrift TechCrunch sprach an- 
gesichts der schieren Größe der expo- 
nierten Datenbank von einer der bislang 
„größten Sicherheitslücken in diesem 
Jahr“. Man habe darin sogar Aufzeich- 
nungen mit Einzelheiten über teils sehr 
private Online-Einkäufe gefunden, die 
bis August 2019 zurückreichten. In 
einem Datensatz werde detailliert be- 
schrieben, wie ein namentlich identi- 
fizierter Deutscher am 19.04.2020 eine 
Prepaidkarte benutzt habe, um ein 
10-Euro-Gebot auf einer Website für E- 
Sports-Wetten zu platzieren. Die Auf- 
zeichnungen sollen auch die Adresse, 
Telefonnummer und E-Mail des Mannes 
umfasst haben. Als weiteres Beispiel 
nennt das Magazin Einträge einer der 
größten türkischen Investmentfirmen. 
Darüber habe sich etwa zurückverfolgen 
lassen, dass ein Nutzer aus Istanbul für 
899 US-Dollar Möbel bei einem Online- 
Ausstatter erstanden habe. Interessen- 
ten unter anderem für Dashcams seien 
ebenfalls leicht persönlich ausfindig zu 
machen gewesen. 

Nach kalifornischem Recht und der 
Datenschutz-Grundverordnung (DSGVO) 
ist Oracle verpflichtet gewesen, die zu- 
ständigen Aufsichtsbehörden über das 
Leck binnen enger Fristen zu informie- 
ren. Dem Bericht nach versäumte der 
Konzern dies aber bislang. Die DSGVO 
sieht bei Verstößen Bußgelder bis zu 
20 Millionen Euro beziehungsweise vier 
Prozent des Jahresumsatzes eines Un- 
ternehmens vor. 

Laut Branchenexperten verfolgt 
BlueKai rund 1,2% des gesamten Da- 
tenverkehrs im Web und arbeitet mit 


den Betreibern einiger der größten 
Homepages und Online-Dienste wie 
Amazon, ESPN, Forbes, Levis, MSN. 
com, Rotten Tomatoes und der New York 
Times zusammen. Sogar in dem Tech- 
Crunch-Artikel war ein BlueKai-Tracker 
eingebaut, weil die Muttergesellschaft 
Verizon Media zu den Partnern der Fir- 
ma gehört. Letztlich setzt fast jede Me- 
dienseite, die sich ganz oder teils über 
Werbung finanziert, auf einschlägige 
Verfahren zur Nutzeranalyse. Hierzu- 
lande betonten die Datenschutzauf- 
sichtsbehörden erstmals vor zwei Jah- 
ren, dass Tracker wie Google Analytics 
und Cookies selbst in pseudonymisier- 
ter Form nur mit ausdrücklicher und 
informierter Einwilligung der Nutzer 
erlaubt sind. Die von Anwendersyste- 
men abgegriffenen Daten und daraus 
geformten Profile würden längst nicht 
nur für Anzeigen verwendet, beklagte 
der Bundesdatenschutzbeauftragte Ul- 
rich Kelber im Jahr 2019 (Krempl, Orac- 
le: Datenpanne mit Milliarden Einträgen 
enthüllt riesiges Tracking-Netz, www. 
heise.de 21.06.2020, Kurzlink: https:// 
heise.de/-4790339. 


Europa 


NGOs kritisieren Umset- 
zung der DSGVO 


Zwei Jahre nach dem Inkrafttreten 
der Datenschutz-Grundverordnung 
(DSGVO) zog der Dachverband der eu- 
ropäischen Datenschutzorganisationen 
European Digital Rights (EDRi) eine 
erste, sehr durchwachsene Bilanz. Die 
Umsetzung der Verordnung in vielen 
Mitgliedsstaaten sei völlig ungenügend 
und systematische Verstöße blieben 
vielfach ungeahndet. In Staaten wie 
Ungarn, der Slowakei und Rumänien 
würden die Datenschutzbehörden poli- 
tisch instrumentalisiert, um gegen Me- 
dienberichte vorzugehen. 

Am 25.05.2020 warf zudem Max 
Schrems (noyb) der irischen Daten- 
schutzbehörde (DPC) vor, mit Facebook 
zur Umgehung der Datenschutzgeset- 
ze regelrecht zu konspirieren. Die DPC 
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agiere quasi als fünfte Kolonne der US- 
Internetkonzerne, deren Europazent- 
ralen fast alle in Irland niedergelassen 
sind. Max Schrems: „Seit Jahren hören 
wir von den nationalen Datenschutzbe- 
hörden immer dieselben schönen Worte 
über eine effizientere Umsetzung der 
DSGVO, über bessere Koordination und 
europäische Zusammenarbeit gegen 
die Umgehungspraktiken der Inter- 
netkonzerne. Passiert ist aber nichts. 
Irgendwann haben uns diese schönen 
Worte gereicht. Es ist jetzt einmal Zeit, 
Tacheles zu reden. Die Herrschaften 
sollen bitte auch einmal öffentlich sa- 
gen, ob sie die DSGVO denn überhaupt 
durchsetzen wollen. In Irland hat das 
nämlich überhaupt nicht den Anschein, 
vielmehr sieht das nach Sabotage aus.” 

Der irischen Datenschutzbehörde 
wird von Schrems vorgeworfen, in zehn 
gemeinsamen Sitzungen mit Facebook 
einen Plan ausgearbeitet zu haben, mit 
dem die in der DSGVO vorgeschriebene 
Zustimmung durch die Benutzer umgan- 
gen wird. Am Tag des Inkrafttretens der 
DSGVO in Irland war der Begriff „Zustim- 
mung“ aus den Geschäftsbedingungen 
des Sozialen Netzwerks verschwunden. 
Stattdessen beruft sich Facebook auf ei- 
nen ominösen „Datennutzungsvertrag” 
mit den Benutzern, der Facebook Da- 
tenverarbeitungen aller Art erlaube bzw. 
den Konzern sogar dazu verpflichte. Die 
irische Datenschutzbehörde akzeptiert 
diese Vorgangsweise des Internetkon- 
zerns bis heute als legitim. 

noyb hat vor zwei Jahren drei Ver- 
fahren gegen Facebook, Instagram 
und WhatsApp - alle drei gehören zum 
Facebook-Konzern - gestartet. 22 Mo- 
nate brauchte die Behörde allein, um 
die Vorwürfe gegen Facebook in erster 
Instanz zu prüfen. Wenn die Verfahren 
in diesem „Tempo“ weitergehen, könne 
es zehn Jahre dauern, bis einer dieser 
Prozesse abgeschlossen wird. Zuletzt 
waren Dating-Apps wie Tinder wegen in- 
flationärer Datenweitergaben ins Visier 
der Datenschützer geraten. Schrems: 
„Das ist ganz einfach juristische Ross- 
täuscherei. Seit dem Römischen Recht 
ist es verboten, einen gesetzlich ge- 
regelten Vorgang umzubenennen, um 
die Regelung zu umgehen. Die gesamte 
Vorgehenkweise der Irischen Daten- 
schutzbehörde ist einfach kafkaesk.” 
Derselbe Punkt steht auch auf der Be- 
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schwerdeliste von EDRi ganz oben, 
nämlich Missbrauch der Zustimmungs- 
regelung, indem die Benutzer zur Zu- 
stimmung für Datenweitergaben en Gros 
genötigt werden. 

Es sei nun höchste Zeit, dass die na- 
tionalen Datenschutzbehörden diesem 
„Business as usual“-Treiben der Inter- 
netkonzerne durch die Umsetzung der 
DSGVO ein Ende setzten, fordern die 
Bürgerrechts- und Datenschutzorga- 
nisationen. Dazu brauche es adäquate 
finanzielle, technische und personelle 
Kapazitäten für die nationalen Daten- 
schützer, damit diese überhaupt gegen 
die in jeder Beziehung überlegenen In- 
ternetkonzerne vorgehen könnten. Das 
sei leider in kaum einem Mitgliedsstaat 
der Fall. Es sei daher nun höchste Zeit, 
dass die Kommission gegen diese Staa- 
ten Verfahren einleite, da die Umset- 
zung der Verordnung dadurch hinter- 
trieben werde. 

Die jeweiligen Mitgliedsorganisati- 
onen des EDRi-Dachverbands haben 
Missbrauchsfälle ausführlich dokumen- 
tiert. Demgemäß ist das europäische 
Gesamtbild alarmierend. Zwei der von 
European Digital Rights dokumentier- 
ten Beispiele des Missbrauchs der DS- 
GVO zu politischen Zwecken stammen 
aus jüngster Zeit. So hatte die slowa- 
kische Datenschutzbehörde das tsche- 
chische Zentrum für investigativen 
Journalismus mit einer Strafandrohung 
von zehn Millionen Euro (!) Ende 2019 
dazu zwingen wollen, ein Video vom 
Netz zu nehmen. Das Video zeigt den 
mittlerweile verhafteten slowakischen 
Unternehmer Marian Kocner, wie ereine 
Überwachungskamera im Büro des ehe- 
maligen Generalstaatsanwalts Dobros- 
lav Trnka installiert, der in Folge ermor- 
det wurde. Kocner sitzt wegen dieses 
und der Morde an den Journalisten Jan 
Kuciak und Martina Kusnirova in Unter- 
suchungshaft. 

In Ungarn hatte einer der Oligarchen, 
die Viktor Orban im Sattel halten, unter 
Berufung auf die Datenschutz-Grund- 
verordnung eine einstweilige Verfügung 
gerichtlich durchgesetzt, die Februar- 
Ausgabe des US-Wirtschaftsmagazins 
„Forbes“ beschlagnahmen zu lassen. Ei- 
ner der Eigentümer des größten ungari- 
schen Getränkekonzerns wollte partout 
nicht in der Liste der 50 reichsten Un- 
garn aufgeführt werden. In Rumänien 


wiederum wurde Ende 2018 versucht, 
einen Bericht des Anti-Korruptions- 
projekts RISE über den Missbrauch von 
EU-Geldern in Rumänien zu verhindern. 
Auch diese Intervention lief über die 
Datenschutzbehörden, auch hier wurde 
versucht, die Berichterstatter durch die 
(theoretisch möglichen) hohen Stra- 
fen gegen Datenschutzverstöße einzu- 
schüchtern. 

Gemäß EDRi ist aus den letzten 25 
Jahren keine weitere EU-Verordnung 
bekannt, die so breit und systematisch 
hintertrieben wurde, wie dies aktu- 
ell mit der DSGVO der Fall ist. In jedem 
anderen Fall war bei vergleichbaren 
Tatbeständen der Nicht-Umsetzung 
einer EU-Verordnung oder Richtlinie, 
ein Verfahren der Kommission gegen 
den betreffenden Staat die Folge. Mit 
der DSGVO wird, so der Vorwurf, regel- 
recht Schindluder getrieben (Moechel, 
Datenschutz-NGOs frontal gegen Daten- 
schutzbehörden, 31.05.2020, https:// 
fm4.orf.at/stories/3003167/) 


Europa 


Kelber: EDSA soll 
Datenschutzverfahren 
zentralisieren 


Der Bundesdatenschutzbeauftragte 
Ulrich Kelber hat sich dafür ausgespro- 
chen, große Datenschutzverfahren auf 
die europäische Ebene zu ziehen und 
dort zu verfolgen: „Auf Dauer wäre es 
sinnvoll, wenn der Europäische Daten- 
schutzausschuss wichtige, grenzüber- 
schreitende und ressourcenfressende 
Fälle an eine europäische Serviceeinheit 
übertragen könnte, die ihm zugeordnet 
ist. Das würde eine deutliche Beschleu- 
nigung bringen. Hintergrund ist, dass 
etwa bei den irischen Datenschützern 
seit Mai 2018 elf Untersuchungen gegen 
Facebook laufen, davon aber bisher kei- 
ne abgeschlossen worden ist. Der Euro- 
päische Datenschutzausschuss (EDSA) 
besteht aus Vertretern der nationalen 
Datenschutzbehörden und dem Europä- 
ischen Datenschutzbeauftragten. 

Die „Serviceeinheit” sollte laut Kel- 
ber „auf keinen Fall eine Institution der 
EU-Kommission sein”. Denn die jetzigen 
Datenschutzbehörden seien alle unab- 
hängig. „Die Stelle müsste die gleiche 
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Unabhängigkeit haben.” Um nicht in 
nationales Recht einzugreifen, wäre es 
daher sinnvoll, sie an den Europäischen 
Datenschutzausschuss anzugliedern. 
„Der Ausschuss könnte die Institution 
dann beauftragen, zum Beispiel mit ei- 
ner 80-Prozent-Mehrheit.” 

Mit Blick auf die Datenschutz-Grund- 
verordnung (DSGVO) zog Kelber eine 
positive Bilanz. Mit der Umstellung 
der Verfahren habe es natürlich „An- 
laufschwierigkeiten“ gegeben: „Es gab 
teilweise absurde Panikmache aus Sen- 
sationsgier, wegen Clickbaiting, aus 
Unkenntnis, aber auch durch Versuche, 
Geschäftsmodelle damit zu verbinden. 
Trotzdem haben wir die wesentlichen 
Ziele erreicht. Wir haben eine Har- 
monisierung in der EU, wir haben ein 
gesteigertes Bewusstsein für Daten- 
schutz und wir haben bessere Durch- 
setzungsmöglichkeiten.” Die deutschen 
Datenschutzbehörden sähen in neun 
Bereichen Verbesserungsbedarf an der 
DSGVO. „Wir sind zum Beispiel der Mei- 
nung, dass der Grundsatz ‚Privacy by 
design’ auf die Hersteller von Produkten 
ausgeweitet werden sollte.” Dann be- 
ginne der „Datenschutz durch Technik- 
gestaltung” schon eine Stufe früher als 
heute. Zudem habe man auch Vorschlä- 
ge zur Praxistauglichkeit gemacht, 
etwa bei den Informationspflichten 
(Datenschutz: Kelber will große Daten- 
schutzverfahren auf EU-Ebene übertra- 
gen, wallstreet-online.de 24.05.2020). 


Österreich 


Personenregister jahrelang 
öffentlich zugänglich 


Ein Register mit persönlichen Daten 
von einer Million Bürgerinnen und Bür- 
gern, also gut 11% der Gesamtbevöl- 
kerung, war auf einer österreichischen 
Ministeriums-Website jahrelang ein- 
sehbar. Aufgefallen war die Datenbank 
mit Namen, persönlichen Adressen und 
Geburtsdaten durch die Abwicklung 
von Anträgen aus dem Corona-Härte- 
fallfonds. Laut Wirtschaftsministerium 
war das Register seit elf Jahren öffent- 
lich einsehbar. In dem inzwischen aus 
dem Netz genommenen Register wurden 
laut den liberalen Neos und der Daten- 
schutzorganisation epicenter.works, 
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die das Leck am 08.05.2020 öffentlich 
machten, unter anderem Bundesprä- 
sident Alexander Van der Bellen, Ex- 
FPÖ-Chef Heinz-Christian Strache, rund 
100 Nationalratsabgeordnete, namhafte 
Schauspieler und sonstige Prominente 
genannt. Das Wirtschaftsministerium 
wies darauf hin, dass die gegenwärtige 
Umsetzung des Ergänzungsregisters in 
einer Verordnung von 2009 geregelt sei. 
Das Register sei Öffentlich zu führen. 
Erfasst sind darin u.a. Selbständige, die 
unter dem Vereins- und Firmenregister 
nicht aufgeführt sind. Die Regierung 
hatte die Datenbank 2004 öffentlich 
eingerichtet. Es sei ursprünglich bei der 
Datenschutzkommission, der späteren 
Datenschutzbehörde, angesiedelt ge- 
wesen und Ende 2018 dem Wirtschafts- 
ministerium übertragen worden. Man 
stehe einer rechtlichen Anpassung und 
Verbesserung jederzeit offen gegenüber. 
Das System wurde vom Netz genommen. 

Die Bürgerrechtler von epicenter. 
works sprachen von einem „Geschenk 
der Republik anjeden Datenhändler und 
Identitätsdieb“”. Es sei nicht ersichtlich, 
wieso das Register mit Stammzahlen öf- 
fentlich für jeden hürdenfrei abrufbar 
sein sollte: „Daher ist die Grundrechts- 
einschränkung ungerechtfertigt.” Die 
Verordnung sei vermutlich verfassungs- 
widrig, könnte aber grundsätzlich noch 
solange angewendet werden, bis sie der 
Verfassungsgerichtshof gegebenenfalls 
aufhebe. Die ÖVP, der Wirtschaftsmi- 
nisterin Margarete Schramböck ange- 
hört, verwies auf die Verantwortung 
der Vorgängerregierungen und sprach 
von „künstlicher Aufregung“ (Millionen 
Daten einsehbar, SZ 09./10.05.2020, 
8; Krempl, Sensible Daten von rund ei- 
ner Millionen Bürger jahrelang offen im 
Netz, www.heise.de 09.05.2020, Kurz- 
link: https://heise.de/-4717831). 


Slowakei 


Verfassungsgericht 
stoppt Corona-Handy- 
Überwachung 


Das Verfassungsgericht Kaschau der 
Slowakei hat am 13.05.2020 entschie- 
den, dass die Gesundheitsbehörden des 
Landes vorerst nicht mehr die Handy- 
daten ihrer Bürger gegen deren Willen 


überwachen dürfen. Unter Verweis auf 
die Corona-Pandemie wurden die Bewe- 
gungen aller Handy-Benutzer erfasst. 
Die höchste juristische Instanz der Slo- 
wakei gab damit einer Beschwerde der 
oppositionellen Sozialdemokraten gegen 
eine Ende März 2020 beschlossene No- 
velle des Telekommunikationsgesetzes 
teilweise Recht. Die von der konserva- 
tiv-populistischen Parlamentsmehrheit 
beschlossene Gesetzesnovelle hatte der 
obersten staatlichen Gesundheitsbehör- 
de den Zugriff auf die Handy-Standort- 
daten der Mobilfunkbetreiber erlaubt, 
um damit zu verfolgen, wo sich mit dem 
neuartigen Coronavirus Infizierte bewe- 
gen und mit wen sie sich treffen. 

Oppositionspolitiker begrüßten die 
Entscheidung der höchsten Richter. 
Der sozialdemokratische Vizeparteichef 
und ehemalige Gesundheitsminister Ri- 
chard Rasi erklärte, die Gesetzesnovelle 
sei mit dem Ausmaß ihres Eingriffs in 
Datenschutz und Bürgerrechte „bei- 
spiellos in Europa“ gewesen. Allerdings 
ist die Gesetzesnovelle nicht aufgeho- 
ben, sondern nur vorläufig außer Kraft 
gesetzt worden. Grund für diese Ent- 
scheidung war keine grundsätzliche 
Verfassungswidrigkeit von Handyüber- 
wachung, sondern dass Zweck, Dauer 
und Kontrolle der außerordentlichen 
Maßnahme nicht ausreichend definiert 
worden sind. Von der Entscheidung 
nicht betroffen ist eine von der Regie- 
rung zusätzlich geplante App, mit der 
die Einhaltung verpflichtender Quaran- 
täne bei Corona-Verdacht überwacht 
werden soll. Die slowakischen Sozialde- 
mokraten setzen sich auch gegen diese 
Form der Überwachung zur Wehr (Ver- 
fassungsgericht der Slowakei stoppt 
Mobilfunk-Überwachung, www.heise.de 
14.05.2020, Kurzlink: https://heise. 
de/-4720905). 


Slowakei 


App-Kontrolle ersetzt 
Quarantäne-Lager 


Wer aus dem Ausland in die Slowakei 
einreist, muss nicht mehr zwingend 
in eines der umstrittenen staatlichen 
Quarantäne-Zentren. Das Parlament in 
Bratislava stimmte am 15.05.2020 der 
von der Regierung am Vortag beschlos- 
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senen Einführung einer Handy-App zur 
freiwilligen Überwachung zu: Wenn sich 
Rückkehrer aus dem Ausland die App 
auf ihr Smartphone installieren lassen, 
dürfen sie die vorgeschriebene 14-tä- 
gige Quarantäne auch zuhause ver- 
bringen. Sobald sie aber ihre Wohnung 
verlassen, wird ein Alarmsignal an die 
Behörden gesendet. Gemäß dem kon- 
servativen Gesundheitsminister Marek 
Krajci geht die unter dem Namen „intel- 
ligente Quarantäne” eingeführte Alter- 
native umgehend in den Wirkbetrieb, 
um die überfüllten Quarantäne-Zentren 
zu entlasten. 

Die Slowakei weist eine der niedrigs- 
ten Infektionsraten mit dem Corona- 
virus in Europa auf. Bis Mitte Mai 2020 
verzeichnete das 5,4 Millionen Einwoh- 
ner zählende Land nur 1480 bestätigte 
Infektionsfälle und lediglich 27 Coro- 
na-Tote. Während die Regierung diese 
im Vergleich zu allen Nachbarländern 
außerordentlich günstigen Zahlen als 
Erfolg ihrer radikalen Schutzmaßnah- 
men rühmte, machte sich in Teilen der 
Bevölkerung Unmut breit. Ombudsfrau 
Maria Patakyova und verschiedene 
Bürgerinitiativen kritisierten vor allem 
die staatlichen Quarantäne-Zentren, in 
die Heimkehrer nach dem Grenzüber- 
tritt gebracht wurden. Die an Gefan- 
genenlager erinnernde Unterbringung 
widerspreche der in der Verfassung 
und in internationalen Konventionen 
garantierten Menschenwürde, klagten 
sie (Covid-19: Slowakei ersetzt Staats- 
quarantäne durch Handy-App, www. 
heise.de 16.05.2020, Kurzlink: https:// 
heise.de/-4722661). 


Israel 


Geheimdienst sucht wieder 
Corona-Kontaktpersonen 


In der Nacht zum 21.07.2020 verab- 
schiedete das israelische Parlament ein 
Gesetz, das den Inlandsgeheimdienst 
Schin Bet bis ins Jahr 2021 hinein er- 
mächtigt, Handydaten und andere 
sensible Informationen zu nutzen, um 
Menschen ausfindig zu machen, die mit 
Corona-Infizierten in engerem Kontakt 
waren. Wer auf diese Weise aufgespürt 
wird, muss umgehend für zwei Wochen 
in Quarantäne. In der Praxis wurden 
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diese Überwachungsmethoden, die zu- 
vor nur zum Aufspüren und Verhindern 
möglicher Terrorakte eingesetzt wur- 
den, mit einer kurzen Unterbrechung 
bereits seit Ausbruch der Pandemie im 
März genutzt. Datenschützer und Bür- 
gerrechtler sind von Beginn an dagegen 
Sturm gelaufen. Sie fürchten bei dieser 
Massenüberwachung nicht nur das Er- 
stellen kompletter Bewegungsprofile, 
sondern auch den direkten Zugriff auf 
Inhalte in sozialen Netzwerken und E- 
Mails. Sogar der Schin-Bet-Chef Nadav 
Argaman zeigte sich höchst unzufrie- 
den damit, von der Regierung für solch 
eine „zivile Angelegenheit” eingespannt 
zu werden. Es gibt offenkundig erhebli- 
che Probleme mit der Treffgenauigkeit 
der Überwachung, wie das Gesundheits- 
ministerium einräumte. Demnach sind 
allein in der ersten Juli-Hälfte mehr als 
150.000 Israelis in Isolation geschickt 
worden wegen eines vermeintlichen 
Kontakts mit einem Corona-Infizierten. 
Rund 30.000 erhoben Einspruch dage- 
gen; 58% von ihnen wurden daraufhin 
aus der Quarantäne entlassen. 

Der Regierung von Premierminister 
Benjamin Netanjahu, die sich wegen 
ihrer sprunghaften Anti-Corona-Politik 
unter Druck befindet, setzt dennoch mit 
aller Macht auf den Geheimdienst. Im 
März 2020 war dessen Überwachungs- 
auftrag per Notverordnung und mit dem 
Plazet des Generalstaatsanwalts einge- 
führt worden. Im April hatte jedoch das 
Oberste Gericht bestimmt, dass ein solch 
fundamentaler Eingriffin die Privatsphä- 
re der Bürger einer entsprechenden Ge- 
setzgebung bedarf (DANA 2/2020, 82). 

Dies schien dann zwischenzeitlich 
wegen der gesunkenen Infektionszah- 
len nicht mehr nötig zu sein. Doch mit 
dem Ausbruch der zweiten Welle wurde 
zuerst die Schin-Bet-Überwachung re- 
aktiviert und dann das geforderte Ge- 
setz verabschiedet. Vorgesehen sind in 
diesem auch ein paar Einschränkungen. 
So ist der Einsatz des Geheimdienstes 
nur erlaubt, solange es pro Tag mehr als 
200 neue Infizierte gibt. Ende Juli 2020 
waren bis zu knapp 2.000 neue Fälle 
verzeichnet worden. Zudem wurde das 
Gesundheitsministerium aufgefordert, 
eine verbesserte Version der Open-Sour- 
ce-Kontaktapp namens Magen 2 - auf 
Deutsch: Schutzschild 2 - schnellstens 
auf den Markt zu bringen. 


Sie soll die Privatsphäre besser schüt- 
zen, ihr Einsatz ist freiwillig. Geheim- 
dienstminister Eli Cohen merkte an, 
dass diese App den Schin-Bet-Einsatz 
frühestens dann ersetzen könnte, wenn 
sie von einem Drittel aller israelischen 
Smartphone-Besitzer genutzt wird. 
Die Bürger des Landes verlieren immer 
mehr den Überblick, was im Kampf ge- 
gen Corona noch erlaubt und was be- 
reits verboten ist. Der zuständige Par- 
lamentsausschuss revidierte mehrere 
von der Regierung erlassene Maßnah- 
men: Strände und Schwimmbäder sollen 
entgegen zunächst ausgesprochenen 
offiziellen Verboten an Wochenenden 
geöffnet bleiben. Restaurants, deren 
Schließung angeordnet worden war, 
bekamen schon wenige Stunden später 
die Erlaubnis, weiterhin Gäste bewirten 
zu dürfen (Münch, Agenten im Einsatz 
gegen Corona, SZ 22.07.2020, 7). 


USA 


GEDmatch-Gendatenbank 
kompromittiert 


Bei der Genealogie-Datenbank GED- 
match konnten Ermittler auf Profile zu- 
greifen, die für sie tabu sein sollten. Mit 
der Genealogie-Datenbank GEDmatch 
laden Fans der Ahnenforschung DNA- 
Informationen hoch, um so Verwandte 
ausfindig zu machen. Am 19.07.2020 
waren wichtige Voreinstellungen für die 
sensiblen Gendaten von über einer Mil- 
lion Profile so verändert worden, dass 
sie plötzlich von Strafverfolgern für Ab- 
gleiche mit Kriminalitätsdatenbanken 
verwendet werden konnten. 

Der Vorfall ist ein Rückschlag für die 
Bemühungen des GEDmatch-Mutter- 
unternehmens Verogen, Anwender von 
der Strategie zu überzeugen, dass der 
Datenbankanbieter ihre Privatsphäre 
schützt und zugleich der Polizei einen 
partiellen kommerziellen Zugang zu 
Profilen auf freiwilliger Basis gewährt. 
Das Unternehmen für forensische Ge- 
netik will auf Basis dieses Ansatzes Geld 
verdienen und zugleich helfen, Gewalt- 
verbrechen mithilfe von Genealogie auf- 
zuklären. 

Wenn Nutzer dies zulassen und ihr 
Profil entsprechend markieren, können 
Ermittler über den Dienst Personen fin- 
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den, die genug DNS mit einem Verdäch- 
tigen teilen, deren Genspuren Fahnder 
in Verbindung mit einem Verbrechen be- 
reits sichergestellt haben. Strafverfol- 
ger hatten mithilfe von GEDmatch 2018 
Joseph James DeAngelo festgenommen 
(DANA 2/2018, 116 f.). Sie gingen da- 
von aus, dass es sich bei dem Ex-Cop 
um den „Golden State Killer“ handelte. 
Der Verhaftete bekannte sich vorigen 
Monat zu 13 Morden und Dutzenden 
anderer Verbrechen schuldig, die größ- 
tenteils schon Jahrzehnte zurücklagen. 
Die Ermittler kamen DeAngelo auf die 
Spur, indem sie DNA des Mörders auf die 
Genealogie-Datenbank hochluden und 
ein gefälschtes Profil für ihn anlegten. 
Für eine Stammbaumanalyse reichen 
dort auch Daten weiter entfernter Ver- 
wandter und Vorahnen, sodass darüber 
bereits große Teile der US-Bevölkerung 
identifiziert werden können. 

Eigentlich haben bei GEDmatch nur 
rund 280.000 von 1,45 Millionen Nut- 
zern per ausdrücklichem Opt-in zuge- 
stimmt, dass ihre Profile von Fahndern 
in Suchaktionen nach Kriminellen ein- 
bezogen werden dürfen. Verogen erklär- 
te die unerwünschte Offenlegung der 
Daten auch der anderen Mitglieder für 
diesen Zweck mit einer „ausgefeilten 
Attacke auf einen unserer Server über 
ein bestehendes Nutzerkonto”. Der An- 
greifer habe in Folge sämtliche Benut- 
zerrechte zurückgesetzt, wodurch alle 
Profile für alle Mitglieder sichtbar ge- 
worden seien. Nach etwa drei Stunden 
sei der Fehler behoben worden. 

Nach dem Hack nahm der Dienst zu- 
nächst wieder seine Arbeit auf. Einen 
Tag später kam es laut der Genealogin 
CeCe Moore von der Firma Parabon Na- 
noLabs, die eng mit der Polizei bei der 
Verbrechensaufklärung zusammenar- 
beitet, aber zu einem zweiten Vorfall: 
Diesmal waren demnach alle Suchmög- 
lichkeiten für Ermittler gesperrt und 
Forschungsprofile sichtbar, die eigent- 
lich gar nicht in Datenabgleiche einbe- 
zogen werden sollen. 

Verogen nahm das Portal daraufhin 
vom Netz mit dem Hinweis aufWartungs- 
arbeiten. Man habe Anzeige erstattet, 
arbeite mit einer Cybersicherheitsfirma 
zusammen und führe eine umfangreiche 
forensische Untersuchung durch, um 
die Schutzmaßnahmen zu verbessern. 
Nutzerdaten seien nicht heruntergela- 
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den oder kompromittiert worden. An 
dieser Behauptung kamen aber Zweifel 
auf, so warnte die israelische Genealo- 
gieseite MyHeritage ihre Kunden vor ei- 
nem gezielten Phishing-Angriff auf Nut- 
zer, die auch ein Konto bei GEDmatch 
haben. Wer auf einschlägige Links in 
Mails klicke, werde zur URL myheritage. 
com umgeleitet, bei der das „g“ durch 
ein „q“ ersetzt wurde. So versuchten 
die Hacker, an Nutzernamen und Pass- 
wörter zukommen, hieß es bei der Kon- 
kurrenz. Der Verdacht liege nahe, dass 
die Angreifer die E-Mail-Adressen und 
Namen für das Missbrauchsvorhaben 
über den GEDmatch-Hack erhalten hät- 
ten. MyHeritage erlaubt es der Polizei 
nicht, die eigene Gendatenbank zu nut- 
zen (Krempl, Gendatenbank: Über eine 
Millionen DNA-Profile von GEDmatch 
enthüllt, www.heise.de 23.07.2020, 
Kurzlink: https://heise.de/-4851323). 


Indien 


Zwangs-App mit 
Hindernissen 


Die Kontaktverfolgungs-Corona-App 
„Aarogya Setu“ (Hindi: „eine Brücke 
zur Gesundheit“) verbreitete sich in In- 
dien zunächst schnell: Für 50 Millionen 
Downloads brauchte die nach Behör- 
denangaben gerade mal 13 Tage. Pre- 
mierminister Narendra Modi rief die 1,3 
Milliarden Bürger seines Landes auf, sie 
zu installieren. Je mehr Leute mitmach- 
ten, desto besser funktioniere die App. 
Ähnlich wie andere Corona-Warn-Apps 
soll die Anwendung aus Indien dabei 
helfen, die Ausbreitung des Coronavi- 
rus einzudämmen. Bald nach dem Start 
machte die Regierung die zuerst freiwil- 
lig zu installierende Corona-App nach 
und nach für mehr und mehr Menschen 
verpflichtend. Dazu gehören Bürger, die 
ihr Haus verlassen, um zu arbeiten, und 
solche, die in vom Virus besonders be- 
troffenen Gebieten leben, ebenso Rück- 
kehrer aus dem Ausland sowie Zugfahr- 
gäste. Erwischen Polizisten diese Men- 
schen ohne App auf dem Handy, drohen 
Bußgelder oder Gefängnisstrafen. 

Die App ist seit Anfang April 2020 auf 
dem Markt. Nach 6 Wochen war sie auf 
den Smartphones von mehr als 100 Mil- 
lionen Menschen installiert, also von we- 


niger als zehn Prozent der indischen Be- 
völkerung. Nach Modellen von Forschern 
der Universität Oxford sollten jedoch 
60% einer Bevölkerung eine Kontaktver- 
folgungs-App nutzen, damit neue Infek- 
tionsketten wirksam erkannt und schnell 
unterbrochen werden können. 

Wissenschaftler des Massachusetts 
Institute of Technology (MIT), das Coro- 
na-Tracker rund um die Welt verglichen 
hat, stellten fest, dass Indien die einzi- 
ge Demokratie der Welt ist, die Bürger 
zum Herunterladen einer Corona-Kon- 
taktverfolgungs-App verpflichtet. Diese 
geht zudem weiter als die Corona-Apps 
vieler anderer Länder, indem sie nicht 
nur via Bluetooth die räumliche Nähe 
zu anderen Smartphones feststellt, son- 
dern via GPS auch den Ort der Begeg- 
nung auswertet. Weiterhin hat die App 
noch eine Einstufung in die Risikokate- 
gorien Grün, Orange und Rot, basierend 
auf Selbstangaben zum Gesundheitszu- 
stand und der Reisegeschichte. 

In einer Kernfunktion ähneln sich die 
Konzepte aus Indien und Deutschland: 
Kommt der Nutzer in die Nähe eines an- 
deren App-Besitzers, tauschen sie au- 
tomatisch Daten aus. Wird jemand po- 
sitiv auf das Virus getestet, werden die 
Kontakte nachträglich informiert. Laut 
Angaben des indischen Gesundheits- 
ministeriums waren bisher Mitte Mai 
rund 140.000 Nutzende nach Kontak- 
ten mit Corona-Infizierten wegen einer 
möglichen Infektion gewarnt worden. 
Die Behörden hätten dank der Daten 
außerdem rund 700 Corona-Hotspots 
finden und darauf reagieren können. In 
Indien galt seit Ende März eine strikte 
Ausgangssperre, die nur langsam gelo- 
ckert wurde. In dieser Zeit hatte sich die 
Corona-Kurve jedoch nicht abgeflacht. 

Schon kurz nach dem Start der App 
fanden Hacker Sicherheitsprobleme. 
Der französische Sicherheitsexperte 
Robert Baptiste etwa wies darauf hin, 
dass die persönlichen Daten der Nutzer 
in Gefahr seien. Damit löste er größere 
Diskussionen auf Twitter aus. Die indi- 
sche Regierung konterte, dass es kein 
solches Risiko gebe. Datenschützer 
gehen von noch mehr Schwachstellen 
aus, die aber unbemerkt bleiben, weil 
die Regierung den Quellcode der App 
unter Verschluss hält. Esist gemäß Apar 
Gupta, dem Chef der indischen Internet 
Freedom Foundation, zudem unklar, 
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wer genau Zugriff auf die Daten hat. 
Er fürchtet, dass die App die Pandemie 
überdauern wird. Indien hat bisher we- 
der ein nationales Datenschutzgesetz 
noch gibt es Regelungen, die die Re- 
gierung zwingen würden, nach der Co- 
ronakrise auf die App zu verzichten: „In 
außergewöhnlichen Zeiten geben Men- 
schen viel leichter ihre Privatsphäre auf, 
auch für Technologien, von denen noch 
nicht ganz klar ist, wie viel sie tatsäch- 
lich helfen werden. Damit geben wir der 
Regierung immer mehr Macht, uns zu 
überwachen.” 

Einige Inder wehren sich gegen das 
App-Tracking. Ein Programmierer aus 
Bengaluru teilte mit, er habe den Code 
der App so verändert, dass sie weder 
persönliche Informationen verlange, 
noch seine Bewegung aufzeichne. An- 
dere Leute hätten bei App-Kontrollen 
Screenshots der Apps gezeigt, beidenen 
die sichere Risikokategorie Grün ange- 
zeigt wird. Wieder andere Inder können 
die App gar nicht herunterladen; Schät- 
zungen zufolge haben weniger als die 
Hälfte der 1,3 Milliarden Menschen im 
Land ein Smartphone (Galli, Darum hat 
es Indiens Anti-Corona-App trotz Nut- 
zungspflicht schwer, www.spiegel.de 
15.05.2020). 


Hongkong 


Social-Media-Unternehmen 
reagieren auf Sicherheits- 
gesetz 


Der zum Facebook-Konzern gehören- 
de Messengerdienst Whatsapp kündigte 
in Reaktion auf das umstrittene neue 
Sicherheitsgesetz in Hongkong an, bis 
auf weiteres an die Hongkonger Justiz- 
behörden keine Nutzerdaten mehr aus- 
zuhändigen. Zunächst sollen die Aus- 
wirkungen des Anfang Juli 2020 in Kraft 
gesetzten Sicherheitsgesetzes geprüft 
werden. Dazu werde es Beratungen mit 
Menschenrechtsexperten geben. Ähn- 
lich äußerten sich Facebook, Google 
und Twitter. Auch Dienste wie Telegram, 
Zoom und Linkedin teilten mit, Anfra- 
gen Honkonger Behörden nach Daten 
vorerst nicht zu beantworten. 

Das Gesetz ist der radikalste Ein- 
schnitt in die Autonomie Hongkongs, 
die der früheren britischen Kronkolo- 
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nie bei der Übergabe an China 1997 für 
mindestens 50 Jahre zugesagt wurde. Es 
sieht lebenslange Haft als Höchststrafe 
für zahlreiche Vergehen vor, die Chinas 
Behörden als Subversion, Abspaltung 
und Terrorismus werten. 

Derweil kündigte ein Sprecher der 
Video-App TikTok des chinesischen 
Konzerns Bytedance an, sein Angebot 
„angesichts der jüngsten Ereignisse” 
in Hongkong vom Markt zu nehmen. 
Das Netzwerk hatte in der Vergangen- 
heit erklärt, man werde Zensurgesuche 
oder Bitten um Nutzer-Daten der chine- 
sischen Regierung nicht Folge leisten. 
Die zensierte und in der Volksrepub- 
lik verfügbare chinesische Plattform- 
Version „Douyin” werde in der ehemals 
britischen Kronkolonie aber weiter 
betrieben. TikTok zählt zu den welt- 
weit beliebtesten sozialen Netzwerken, 


EuGH 


„Aus“ für Privacy Shield 
und US-Datenübermitt- 
lungserlaubnis 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 16.07.2020 auch die 
Nachfolgeversion von Safe-Harbor, den 
transatlantischen Datenschutzschild 
(Privacy Shield) gekippt (C-311/18). 
Hintergrund dieses Urteils ist wieder 
die Klage des österreichischen Juristen 
und Datenschutzaktivisten Max Schrems 
gegen die irische Datenschutzbehörde 
(DPC) wegen der transatlantischen Da- 
tenübermittlungen bei der Benutzung 
der Social-Media-Plattform Facebook. 
Mit dem Privacy Shield erklärte der EuGH 
eine der wichtigen Rechtsgrundlagen für 
den Transfer personenbezogener Daten 
europäischer Bürger in die USA für nich- 
tig. Grund dafür sind in den Vereinigten 
Staaten bestehende Gesetze, die Sicher- 
heitsbehörden weitreichende Befugnisse 
zur Überwachung „ausländischer Kom- 
munikation” in die Hand geben. 


steht aber wegen seines chinesischen 
Eigentümers Bytedance und wegen Da- 
tenschutzbedenken in der Kritik (DANA 
1/2020, 57 f.). US-Außenminister Mike 
Pompeo hatte kurz zuvor angekündigt. 
ein Verbot des Dienstes zu prüfen. Nach 
Daten von Sensor Tower verzeichne- 
te TikTok im September 2019 rund 1,8 
Millionen Downloads in Hongkong - 
bei 7,4 Millionen Einwohnern. Mit dem 
Rückzug aus Hongkong dürfte TikTok 
die vorgegebene Distanz zur Volksre- 
publik unter Beweis stellen wollen (Tik- 
Tok kündigt Rückzug aus Hongkong an 
- WhatsApp liefert keine Daten mehr, 
www.handelsblatt.com 07.07.202; 
WhatsApp liefert keine Daten mehr, 
www.sueddeutsche.de 06.07.2020 
= Keine Daten für Hongkong, SZ 
07.07.2020, 6; Brühl/Giesen, In der di- 
gitalen Klemme, SZ 08.07.2020, 7). 


Rechtsprechung 


Europäische Tochtergesellschaften 
von US-Konzernen wie Facebook dürfen 
gemäß dem EuGH Datenübermittlungen 
grundsätzlich auf Basis des Beschlusses 
der EU-Kommission über Standardver- 
tragsklauseln (SVK) persönliche Infor- 
mationen an Auftragsverarbeiter in Dritt- 
ländern übertragen. Ob dies tatsächlich 
erlaubt sei, müssen die zuständigen 
Datenschutzbehörden aber jeweils auslo- 
ten. Auch die SVK haben so im USA-Fall 
nur noch pro forma Bestand. 

Der EuGH begründet seine Entschei- 
dung damit, dass mit der Datenschutz- 
Grundverordnung (DSGVO) personenbe- 
zogene Daten grundsätzlich nur dann 
in ein Drittland übermittelt werden 
dürfen, wenn dieses dafür ein „ange- 
messenes Schutzniveau” gewährleis- 
tet. Die Kommission sei befugt, einen 
solchen Level mit einem Beschluss 
festzustellen. Liege keine solche Ange- 
messenheitsentscheidung vor, müsse 
der in der EU ansässige Datenexporteur 
selbst „geeignete Garantien” vorsehen. 
Diese könnten sich etwa aus den von 
der Kommission erarbeiteten Standard- 
Datenschutzklauseln ergeben. Hierfür 
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müssten die betroffenen Personen „über 
durchsetzbare Rechte und wirksame 
Rechtsbehelfe verfügen”. 

Max Schrems hatte gegenüber der iri- 
schen Datenschutzbehörde den Transfer 
seiner personenbezogenen Informatio- 
nen durch die nationale Facebook-Toch- 
ter an den Mutterkonzern in den USA 
moniert und beantragt, alle Datenüber- 
mittlungen zwischen den beiden Un- 
ternehmen auszusetzen. Das Stammun- 
ternehmen sei nämlich verpflichtet, die 
erhaltenen Informationen etwa auf Basis 
von Paragraf 702 des Foreign Intelli- 
gence Surveillance Act (FISA) US-Behör- 
den wie der NSA und dem FBI zugänglich 
zu machen, ohne dass die Betroffenen 
dagegen gerichtlich vorgehen könnten. 
Das Gericht nahm ausdrücklich Bezug 
auf NSA-Überwachungsprogramme wie 
Prism oder Upstream, die durch Edward 
Snowdens Enthüllungen 2013 bekannt 
geworden waren. Damit zapfen die US- 
Behörden Datenkabel an und greifen auf 
Metadaten wie auch auf Inhalte zu, ohne 
dass den Bürgern ein angemessener 
Rechtsschutz gewährt wird. 

Facebook hatte dagegen geltend ge- 
macht, dass das EU-Recht generell nicht 
für die Verarbeitung personenbezogener 
Daten für Zwecke der nationalen Sicher- 
heit gelte. Die irische Kontrollbehörde 
wandte sich daraufhin an den irischen 
High Court, um die Rechtmäßigkeit der 
Transfers zu klären, die per Standard- 
vertragsklauseln erfolgte. Die angeru- 
fenen Richter wollten daraufhin vom 
EuGH etwa wissen, ob die entsprechende 
Übermittlung die EU-Grundrechtecharta 
und die darin verbürgten Ansprüche auf 
Schutz der Privatsphäre und einen wirk- 
samen Rechtsbehelf verletzt. 

Der EuGH stellte den Beschluss der 
EU-Kommission über die SVK nicht völ- 
lig in Frage. Bei einer Prüfung ergebe 
sich nichts, was seine Gültigkeit be- 
rühren könnte. Europäisches Recht und 
insbesondere die DSGVO seien generell 
auf einen zu gewerblichen Zwecken er- 
folgenden Transfer persönlicher Daten 
anzuwenden. Dies gelte auch, wenn die 
Daten direkt oder im Anschluss von Be- 
hörden des betreffenden Drittlands ver- 
arbeitet werden könnten. 

Personen, deren Informationen 
weitergesendet werden, müssen ein 
Schutzniveau in Anspruch nehmen 
können, das dem der DSGVO entspricht. 
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Es sei Pflicht der europäischen Daten- 
schutzbehörden wie etwa der irischen 
Aufsichtsstelle zu prüfen, ob diese An- 
forderungen erfüllt sind. Insbesondere, 
wenn es keinen Angemessenheitsbe- 
schluss der Kommission gebe, seien sie 
dabei auch angehalten, einen Transfer 
„auszusetzen oder zu verbieten”. Vor- 
aussetzung dafür sei ihre Auffassung, 
dass die Standardklauseln in dem ent- 
sprechenden Land nicht eingehalten 
werden und der nötige Schutz nicht 
anders gewährleistet werden kann. Pa- 
rallel müssen auch der Datenexporteur 
und der Empfänger der Informationen 
laut dem Richterspruch vorab prüfen, ob 
das erforderliche Schutzniveau im be- 
treffenden Drittland eingehalten wird. 
Konkret habe die Facebook-Mutter also 
die europäische Tochter gegebenenfalls 
selbst darüber zu informieren, dass die 
SVK mit all ihren Konsequenzen nicht 
eingehalten werden könnten. 
EuGH-Generalanwalt Henrik Saug- 
mandsgaard Pe hatte schon im De- 
zember 2018 argumentiert, die SVK 
seien tragfähig. Das Gericht sei auch 
nicht unbedingt verpflichtet, über 
die Gültigkeit des Privacy Shield zu 
entscheiden. Dessen Rechtmäßigkeit 
zweifelte er aber angesichts der in der 
EU verbrieften Grundrechte an. Der 
EuGH stellte insofern fest, dass dieser 
„den Erfordernissen der nationalen Si- 
cherheit, des öffentlichen Interesses 
und der Einhaltung des amerikani- 
schen Rechts Vorrang” einräume. Dies 
erlaube Eingriffe in die Grundrechte 
der Personen, deren Daten in die USA 
übermittelt werden. Die Anforderun- 
gen an eine derartige Übereinkunft se- 
hen die Richter nicht erfüllt, da die auf 
die US-Rechtsvorschriften gestützten 
Überwachungsprogramme „nicht auf 
das zwingend erforderliche Maß be- 
schränkt sind”. Den Betroffenen habe 
der US-Gesetzgeber auch keine Rech- 
te verliehen, die sie gegenüber den 
amerikanischen Behörden gerichtlich 
durchsetzen könnten. Der vorgesehene 
Ombudsmechanismus reiche nicht aus. 
Die EU-Kommission war davon aus- 
gegangen, dass es keinen Konflikt mit 
den US-Gesetzen gebe. Wenn Unterneh- 
men Daten auf Basis des Privacy Shield 
versenden wollten, müssten sie garan- 
tieren, die Mindeststandards des euro- 
päischen Datenschutzes einzuhalten. 


Schrems warf der EU-Kommission vor, 
dass sie die US-Überwachungsauflagen 
völlig falsch einschätze. Schrems hat- 
te vor dem EuGH mit dessen Urteil vom 
06.10.2015 bereits das Vorgängerab- 
kommen „Safe Harbor” zu Fall gebracht 
(C-362/14). Mit dem Außerkraftsetzen 
des Privacy Shield wird wohl auch ein 
dritter Anlauf ohne grundsätzliche Re- 
formen nicht ausreichend sein, um ei- 
nen angemessenen Datenschutz für EU- 
Bürger zu gewährleisten. 

Der eco-Verband der Internetwirt- 
schaft hatte sich vorab besorgt gezeigt. 
Der Datenschutzschild zwischen der EU 
und den USA oder die SVK bildeten „eine 
unerlässliche Rechtsgrundlage für die 
internationale Übermittlung personen- 
bezogener Daten”. Ohne sie gebe es für 
diesen Zweck nur wenig Alternativen, 
sodass viele Unternehmen im Regen 
stünden. Die Folgen wären fatal: Zahl- 
reiche transatlantische Transfers per- 
sönlicher Informationen würden über 
Nacht unzulässig. Die Digitalwirtschaft 
sei auf verlässliche und tragfähige Re- 
geln und damit einhergehende Rechts- 
sicherheit unbedingt angewiesen. 

Schrems hoffte dagegen schon im 
Vorfeld auf einen Rückschlag für die 
auch vom Silicon Valley vorangetrie- 
bene „Überwachungskultur“ und eine 
umfassende Novelle der ihr zugrunde- 
liegenden Gesetzesklauseln. Um Daten 
ausländischer Nutzer zu erhalten, müs- 
se es im Sinne die US-Industrie sein, 
grundlegende Schutzbestimmungen 
einzuführen. In den Vereinigten Staa- 
ten gebe esja auch Bedenken, dass In- 
formationen über US-Bürger nach China 
gingen, wenn diese Dienste von Huawei 
oder TikTok verwendeten. 


+ Reaktionen 


Die öffentlich geäußerten Lesarten 
des Grundsatzurteils sind trotz sei- 
ner Eindeutigkeit unterschiedlich. Für 
Schrems, der den Stein mit einer Be- 
schwerde über die Praktiken Facebooks 
bei der irischen Datenschutzbehörde 
DPC ins Rollen gebracht hat, steht fest: 
Standardvertragsklauseln „können 
auch nicht mehr von Facebook und US- 
Unternehmen genutzt werden, die un- 
ter US-Überwachung stehen“. Nur wenn 
es kein kollidierendes Recht gebe, seien 
SVK noch einsetzbar. In Fällen wie bei 
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Facebook hätte die DPC den Betreiber 
des sozialen Netzwerks laut dem Juris- 
ten „schon vor Jahren anweisen können, 
die Datentransfers zu stoppen”. Statt- 
dessen habe sich die Behörde an den 
EuGH gewandt, um die - nun im Prinzip 
für gültig befundenen - SVK aufheben 
zu lassen. Sie habe die Feuerwehr geru- 
fen aus Unlust, eine Kerze auszublasen. 
Der seit sieben Jahren anhängige Fall 
habe allein die DPC fast drei Millionen 
Euro gekostet. Dies zeige auch grundle- 
gende Mängel bei der Durchsetzung der 
DSGVO auf. Trotz des Urteils könnten ab- 
solut notwendige Datentransfers gemäß 
Art. 49 DSGVO weiterhin stattfinden, 
heißt es bei noyb. Übermittlungen lie- 
ßen sich auch auf eine informierte Ein- 
willigung des Nutzers stützen, die aber 
jederzeit widerrufbar sei. Die USA wür- 
den einfach in den Status eines Landes 
ohne besonderen Zugang zu EU-Daten 
zurückversetzt. 

Die in Luxemburg im Kern gescheiterte 
DPC begrüßte die Entscheidung ebenfalls 
nachdrücklich. Ihr seien Datentransfers 
in die USA schon nach dem Aus für das 
Vorgängerabkommen Safe Harbor 2015 
überaus problematisch erschienen, un- 
abhängig von der genutzten Rechts- 
grundlage. Durch das Urteil sehe man 
die eigenen Bedenken nun voll bestä- 
tigt. Dass der EuGH das SVK-Instrument 
trotzdem nicht direkt verworfen habe, 
erfordere angesichts der Komplexität der 
Materie noch eine gründliche Analyse. 
Der SVK-Mechanismus erscheine in Be- 
zug auf die USA nach wie vor „fraglich“. 
Man wolle nun gemeinsam mit den „eu- 
ropäischen Kollegen” eine gemeinsame 
Position erarbeiten. 

Der Bundesdatenschutzbeauftrag- 
te Ulrich Kelber verwies auf eine nun 
bestehende große Herausforderung. 
Unternehmen, die öffentliche Verwal- 
tung und die in ihrer Rolle gestärkten 
Aufsichtsbehörden „haben jetzt die 
komplexe Aufgabe, das Urteil praktisch 
anzuwenden“. Die Kontrollinstanzen 
müssten „bei jeder einzelnen Datenver- 
arbeitung” prüfen, „ob die hohen An- 
forderungen des EuGH erfüllt werden“. 
Internationaler Datenverkehr bleibe 
zwar generell weiter möglich. Dabei sei- 
en aber die Grundrechte der EU-Bürger 
zu beachten. Für den Austausch mit den 
USA müssten nun „besondere Schutz- 
malsnahmen ergriffen werden“. 
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Der Hamburgische Datenschutz- 
beauftragte Johannes Caspar zog ein 
skeptischeres Fazit: „Für den interna- 
tionalen Datenverkehr ziehen schwere 
Zeiten auf. Die Umetikettierung des im 
Jahr 2015 für ungültig erklärten Vor- 
gängerinstruments Safe Harbor mit nur 
marginalen Verbesserungen hat zu kei- 
nem Umdenken in der Regierung der 
USA geführt”. Weder hätte der dortige 
Gesetzgeber bei der Praxis der anlass- 
losen Massenüberwachung etwas ge- 
ändert, noch seien Betroffenenrech- 
te substanziell gestärkt worden. Die 
Entscheidung, die Standardvertrags- 
klauseln prinzipiell beizubehalten, sei 
nicht konsequent. Wenn primär mit 
den ausufernden Geheimdienstaktivi- 
täten in den USA argumentiert werde, 
müsse dies für das alternative Instru- 
ment genauso gelten. Der EuGH habe 
den Ball den europäischen Aufsichts- 
behörden zugespielt, sagte Caspar. Die 
Datenschutzbeauftragten in Deutsch- 
land und Europa müssten sich schnell 
verständigen, „wie mit Unternehmen 
umgegangen wird, die nun unzulässi- 
gerweise weiter auf das Privacy Shield 
setzen“. Dasselbe gelte für Firmen, die 
SVK für Transfers in die USA und in an- 
dere Drittstaaten nutzten. Dabei werde 
sich etwa auch bei China oder Groß- 
britannien mit Blick auf den Brexit 
„die Frage der zulässigen Datenüber- 
mittlung stellen“. Auch der Thüringer 
Datenschutzbeauftragte Lutz Hasse 
meinte, er wisse nicht, wie im Fall von 
Transfers in die USA noch „ein EU-da- 
tenschutzkonformes Prüfergebnis zu- 
stande kommen soll”. 

Der IT-Verband Bitkom monierte, 
dass zum zweiten Mal eine der Rechts- 
grundlagen für transatlantische Da- 
tentransfers weggefallen sei. Auch die 
Praxis der Standardvertragsklauseln 
gerate ins Wanken, es entstünde mas- 
sive Rechtsunsicherheit. Wer bislang 
allein auf das Privacy Shield gebaut 
habe, müsse auf andere Verfahren um- 
stellen, sonst „droht ein Datenchaos”. 
Ähnlich besorgt zeigte sich der eco- 
Verband der Internetwirtschaft. Der 
Bundesverband IT-Mittelstand vermag 
der Entscheidung auch etwas Gutes 
abzugewinnen: Sie könne „den Weg 
dahin ebnen, dass Datensicherheit als 
Wettbewerbsvorteil für Europa erkannt 
wird“. Betroffen sieht Philippe Heinz- 


ke, Rechtsanwalt bei der Wirtschafts- 
kanzlei CMS, vor allem kleine und mitt- 
lere Unternehmen, die bislang vielfach 
keine Standardverträge abgeschlossen 
hätten. Microsoft meinte, gewerbliche 
Kunden dürften die Dienste des Unter- 
nehmens im Einklang mit dem europä- 
ischen Recht weiterhin nutzen: „Das 
Urteil des Gerichtshofs ändert nichts 
daran, dass Sie heute Daten zwischen 
der EU und den USA über die Microsoft- 
Cloud übertragen können.” Man biete 
den Kunden seit Jahren einen überlap- 
penden Schutz im Rahmen der SVK und 
des Privacy Shield. 

Die EU-Kommission setzt nun offen- 
bar vor allem auf eine Modernisierung 
der SVK. EU-Kommissions-Vizepräsi- 
dentin Vera Jourovä signalisierte, dass 
sie sich in den USA deutlich strengere 
Datenschutzvorschriften zumindest für 
EU-Bürger wünschen würde - aber die 
EU könnten US-Gesetze nicht ändern: 
„Wir werden auf Grundlage des heutigen 
Urteils eng mit unseren amerikanischen 
Kollegen zusammenarbeiten.” Justiz- 
kommissar Didier Reynders unterstrich, 
SVK seien bereits das gebräuchlichste 
Mittel für internationale Datentrans- 
fers. Man arbeite hieran bereits seit ei- 
niger Zeit. Er nannte aber keine Details. 
Man werde alles tun, um das Urteil voll- 
ständig umzusetzen. 

Das Urteil „ist ein Sieg für die Privat- 
sphäre gegen die Massenüberwachung“, 
freute sich Diego Naranjo von der Inita- 
tive European Digital Rights (EDRi). Die 
USA müssten die Arbeit ihrer Geheim- 
dienste nun dringend reformieren. Mo- 
ritz Körner, innenpolitischer Sprecher 
der FDP im EU-Parlament sprach von 
einem „Erdbeben für den internationa- 
len Datenaustausch“. Dank des Richter- 
spruchs dürfe die Datenschnüffelei der 
USA nicht länger ignoriert oder hinge- 
nommen werden. Es sei traurig, „dass 
dies nur durch die Klage der Privatper- 
son Schrems erreicht werden konnte” 
(Krempl, EuGH kippt EU-US-Daten- 
schutzvereinbarung „Privacy Shield”, 
www.heise.de 16.07.2020, Kurzlink: 
https://heise.de/-4845204; Krempl, 
Aus fürs Privacy Shield: Der internatio- 
nale Datenverkehr kommt ins Trudeln, 
www.heise.de 16.07.2020, Kurzlink: 
https://heise.de/-4846000; Janisch, 
Gericht verbietet Datentransfer in die 
USA, SZ 17.07.2020, 1). 
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Conseil d Etat/Frankreich 


CNIL-Google-Bußgeld 
in Höhe von 50 Mio. € 
bestätigt 


Das oberste französische Verwal- 
tungsgericht, der dortige Conseil 
d Etat (Staatsrat), hat am 19.06.2020 
die Beschwerde von Google gegen das 
Bußgeldverfahren der nationalen Da- 
tenschutzbehörde, der Commission Na- 
tionale de ’Informatique et des Libertes 
(CNIL) zurückgewiesen. Google muss in 
Frankreich gemäß der CNIL-Entschei- 
dung vom Januar 2019 wegen undurch- 
sichtiger Privatsphäre-Einstellungen 
und der fehlenden rechtlichen Grund- 
lage für personalisierte Werbung mit 50 
Millionen Euro die bislang höchste Stra- 
fe zahlen, die europäische Aufsichts- 
behörden auf Basis der Datenschutz- 
Grundverordnung (DSGVO) verhängten 
(DANA 1/2019, 45). 

Das oberste französische Verwal- 
tungsgericht akzeptierte die Einwän- 
de von Google gegen die Sanktion in 
seinem Beschluss nicht. Der US-Inter- 
netkonzern hatte unter anderem da- 
rauf abgestellt, die CNIL sei gar nicht 
zuständig, da sich der eigene europä- 
ische Hauptsitz in Irland befinde. Laut 
dem in der DSGVO verankerten „One- 
Stop-Shop-Prinzip” müsse der Fall an 
die irische Datenschutzbehörde gehen, 
die als konzernfreundlich und ressour- 
censchwach gilt und binnen anderthalb 
Jahren zunächst nur einen vagen Be- 
richt zu laufenden Beschwerden gegen 
Facebook, Instagram und WhatsApp 
verfasst hat. 

Der Staatsrat bestätigte, dass die CNIL 
zum maßgeblichen Zeitpunkt befugt 
war, das Bußgeld gegen Google zu ver- 
hängen. Die fraglichen Entscheidungen 
gingen nämlich nicht auf das Konto der 
irischen Niederlassung, sondern auf das 
der Stammfirma „Google LLC”, die in 
den USA ansässig ist. Daraus folge, dass 
das in der DSGVO vorgesehene System 
der einheitlichen Anlaufstelle nicht an- 
wendbar und die CNIL so zum Handeln 
berechtigt gewesen sei. Die Behörde 
habe dabei den neuen europäischen 
Rechtsrahmen so angewendet, wie dies 
vom Europäischen Datenschutzaus- 
schuss vorgegeben wurde. 
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Der Suchmaschinenbetreiber hatte in 
seiner Berufung zudem argumentiert, 
sein Zustimmungsverfahren für perso- 
nalisierte Werbung sorgfältig erarbei- 
tet, möglichst transparent gestaltet und 
dabei die Empfehlungen der Requlierer 
beachtet zu haben. Die CNIL hatte da- 
gegen beanstandet, dass die von Goog- 
le eingeholte Einwilligung zur Anzeige 
personalisierter Werbung nicht gültig 
sei, da die Nutzer nicht ausreichend 
über das Verfahren aufgeklärt würden. 

So sei die Vielfalt der beteiligten 
Google-Dienste wie YouTube, Google 
Maps oder Internet-Suche nicht er- 
sichtlich. Es werde nicht hinreichend 
deutlich, wie der Konzern erhobene 
Daten verarbeite und für wie lange er 
sie speichere. Die Informationen dazu 
seien über mehrere Dokumente verteilt, 
Nutzer müssten sich über diverse Links 
und Buttons durch das Material klicken. 
Der Conseil d’Etat konstatierte dazu, 
dass die CNIL auch die Schlüsselprinzi- 
pien der DSGVO rund um die Bereiche 
Transparenz, Information der User und 
die Notwendigkeit einer gültigen Zu- 
stimmung für personalisierte Werbung 
korrekt angewendet hat. Die höchsten 
Verwaltungsrichter erachteten die von 
der Kontrollinstanz festgestellten Un- 
zulänglichkeiten zugleich als wesent- 
lich für das Geschäftsgebaren Googles. 
An der Entscheidung gebe es so insge- 
samt nichts auszusetzen. 

Den Fall ins Rollen gebracht hatten 
die Bürgerrechtsorganisationen noyb 
aus Österreich und La Quadrature du 
Net aus Frankreich mit weitgehenden 
Beschwerden auch gegen andere On- 
line-Giganten. noyb-Mitgründer Max 
Schrems verwies als Reaktion auf die 
Ansage des Staatsrats darauf, dass der 
Geldbetrag für Google „zwar winzig” sei 
und die potenzielle Höchststrafe bei 3,7 
Milliarden Euro gelegen hätte. Dennoch 
werde damit deutlich, dass DSGVO-Sank- 
tionen „beträchtliche Summen errei- 
chen können“. Wichtig sei die Klarstel- 
lung, dass sich große US-Tech-Konzerne 
„nicht einfach als ‚irisch‘ deklarieren 
können“, um einer angemessenen Da- 
tenschutzkontrolle zu entgehen. Google 
müsse die eigenen Bestimmungen für 
die Privatsphäre der Nutzer nun endlich 
überarbeiten und glasklar darlegen, was 
mit den gesammelten Informationen 
geschehe. Das bisherige übergreifende 


breite Opt-in-Verfahren über alle Diens- 
te hinweg könne der Konzern nicht län- 
ger beibehalten. 

Nicht ganz durchsetzen konnte sich 
die CNILvor dem Conseil d’Etat mitihren 
vergleichsweise strengen Richtlinien 
zum Einsatz von Cookies und anderen 
Tracking-Instrumenten. Im Kern erach- 
tete das Gericht zwar auch diese Vorga- 
ben als akzeptabel. Die CNIL-Vorgabe, 
mit der die umstrittene Praxis der „Coo- 
kie Walls“ und der damit verknüpften 
Pauschaleinwilligung vollständig un- 
tersagt worden war, wurde vom Gericht 
nicht gehalten: Ein solches Verbot be- 
nötigte eine ordentliche Rechtsgrund- 
lage und könne nicht über eine einfa- 
che Richtlinie vorgeschrieben werden. 
Die CNIL sicherte zu, ihre künftigen 
Empfehlungen entsprechend anzupas- 
sen (Krempl, DSGVO-Verstöße: Conseil 
d’Etat bestätigt 50-Millionen-Strafe ge- 
gen Google, www.heise.de 20.06.2020, 
Kurzlink: https://heise.de/-4790235). 


BVerfG 


Strategische BND-Telekom- 
munikationsüberwachung 
ist verfassungswidrig 


Das Bundesverfassungsgericht (BVerfG) 
hat in einem 141 Seiten langen Urteil 
vom 18.05.2020 festgestellt, dass die 
anlasslose Massenüberwachung des 
Bundesnachrichtendienstes (BND) von 
Ausländern im Ausland in ihrer bisheri- 
gen Form formell und inhaltlich gegen 
Grundrechte verstößt und dass das da- 
für grundlegende BND-Gesetz verfas- 
sungswidrig ist (Az. 1 BvR 2835/17). 
Erstmals wird vom BVerfG klargestellt, 
dass der deutsche Staat das Fernmelde- 
geheimnis und die Pressefreiheit auch 
im Ausland wahren muss und an das 
Grundgesetz gebunden ist. 


+ Das Urteil 


Der Senatsvorsitzende Stephan Har- 
barth, der im Herbst 2016 als CDU- 
Bundestagsabgeordneter noch für die 
einschlägige Gesetzesnovelle gestimmt 
hatte, wies in seiner mündlichen Ur- 
teilsbegründung darauf hin, dass der 
BND die Telekommunikation an der 
Schnittstelle von Internationalisierung, 
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wachsender sicherheitsbezogener Her- 
ausforderungen und Digitalisierung, die 
auch eine zunehmende „Verwundbar- 
keit von Rechtsgütern” mit sich bringt, 
überwacht. Eine anlasslose strategische 
Aufklärung des Geheimdienstes unter 
Verzicht von Eingriffsschwellen dürfe es 
in diesem sensiblen Umfeld nicht geben. 
Nötig sei ein Verbot pauschaler globaler 
Überwachung. Der Gesetzgeber müsse 
Zwecke der Spionage klar festlegen und 
etwa spezifische Anforderungen an die 
„Bevorratung“ von Daten und den Schutz 
von Vertraulichkeitsbeziehungen auf- 
stellen. Nötig seien „Löschungspflich- 
ten“. Beim Transfer von Informationen 
an ausländische Stellen bedürfe es klarer 
Vorgaben. Der individuelle Rechtsschutz 
der Betroffenen müsse durch eine ausge- 
baute, objektiv-rechtliche Kontrolle ge- 
währleistet bleiben, die gerichtlich und 
administrativ sicherzustellen sei. Aus 
Grundrechtssicht besonders schwerwie- 
gend sei die außerordentliche Streubrei- 
te der strategischen Telekommunikati- 
onsüberwachung. 

Die Maßnahme sei „anlasslos gegen- 
über jedermann einsetzbar” und erlau- 
be „gezielt personenbezogene Überwa- 
chungen“; objektive Eingriffsschwellen 
gebe es nicht: „Das Instrument erlaubt 
heute, tiefin den Alltag hineinreichen- 
de, auch höchst private und spontane 
Kommunikationsvorgänge zu analysie- 
ren und zu erfassen sowie bei der Inter- 
netnutzung zum Ausdruck kommende 
Interessen, Wünsche und Vorlieben 
aufzuspüren.” Andererseits versorge sie 
die „Bundesregierung mit Informatio- 
nen für ihre außen- und sicherheitspo- 
litischen Entscheidungen”, um „sich im 
machtpolitischen Kräftefeld der inter- 
nationalen Beziehungen zu behaupten” 
und „folgenreiche Fehlentscheidungen” 
zu vermeiden. Insoweit gehe es mittel- 
bar zugleich darum, die demokratische 
Selbstbestimmung und den Schutz der 
verfassungsrechtlichen Ordnung zu 
wahren. Ein weiterer Gesichtspunkt für 
die „Rechtfertigungsfähigkeit” der stra- 
tegischen Überwachung liege darin, 
dass sie durch eine Behörde vorgenom- 
men werde, „die selbst grundsätzlich 
keine operativen Befugnisse hat”. 

Das BVerfG beschrieb in Auflagen, wie 
das Werkzeug grundrechtskonform aus- 
gestaltet werden kann. Zunächst müsse 
der Gesetzgeber „einschränkende Maß- 
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gaben zum Volumen der für die jeweili- 
gen Übertragungswege auszuleitenden 
Daten” auf- und sicherstellen, „dass 
das von der Überwachung abgedeckte 
geographische Gebiet begrenzt bleibt“. 
Die Inlandskommunikation sowie erfor- 
derlichenfalls ein Austausch, an dem 
auf mindestens einer Seite Deutsche 
oder Inländer beteiligt sind, müsse der 
BND „vor einer manuellen Auswertung 
nach dem Stand von Wissenschaft und 
Technik bestmöglich“ ausfiltern. Die 
Befugnis, Verbindungs- und Standort- 
daten im Rahmen der Auslandsüber- 
wachung gesamthaft zu speichern und 
zu bevorraten, muss dem BVerfG zufol- 
ge „hinsichtlich der davon erfassten 
Datenströme begrenzt bleiben“. Eine 
Speicherdauer von sechs Monaten dürfe 
nicht überschritten werden. 

Die Richter fordern „besondere An- 
forderungen für den Schutz von Berufs- 
und Personengruppen, deren Kommuni- 
kation eine gesteigerte Vertraulichkeit 
verlangt”. Ein gezieltes Eindringen in 
solche schutzwürdigen Vertraulichkeits- 
beziehungen etwa von Rechtsanwälten 
oder Journalisten könne nicht schon 
allein damit gerechtfertigt werden, dass 
die angestrebten Informationen nach- 
richtendienstlich nützlich sind. Einen 
großen Wehrmutstropfen enthält das 
Urteil in Randnummer 198: Sofern Über- 
wachungsmaßnahmen „ausschließlich 
dazu bestimmt und darauf ausgerichtet 
sind, der politischen Information der 
Bundesregierung zu dienen und eine 
Übermittlung der Erkenntnisse an an- 
dere Stellen prinzipiell ausgeschlossen 
ist, kann auf den Schutz von Vertraulich- 
keitsbeziehungen verzichtet werden, so- 
weit dies erforderlich ist“. 

Dem Kernbereich privater Lebensge- 
staltung ist stärker Rechnung zu tra- 
gen. „Nicht hinreichend begrenzt aus- 
gestaltet sind auch die angegriffenen 
Regelungen zur Übermittlung von Er- 
kenntnissen der Auslandsüberwachung 
an andere Stellen“. Soweit Daten an 
ausländische Dienste wie die NSA über- 
mittelt würden, müsse der Gesetzgeber 
zusätzlich „eine Vergewisserung über 
den rechtsstaatlichen Umgang mit den 
Daten auf Empfängerseite vorschrei- 
ben“. Der bisher einfach mitgeschickte 
„Disclaimer“ genügt nicht. Die gesetz- 
lichen Regeln müssen ferner „insbe- 
sondere einen Austausch von Erkennt- 


nissen aus auf Deutschland bezogenen 
Überwachungsmaßnahmen ausländi- 
scher Dienste unterbinden“. Ein solcher 
„Ringtausch” sei verfassungsrechtlich 
verboten. Mit „Ringtausch” wird be- 
zeichnet, dass andere Dienste das tun, 
was man selbst nicht darf, z.B. die Über- 
wachung im Inland, und man hinterher 
die Informationen tauscht. 

Nach der BND-NSA-Selektorenaffäre 
verlangt der 1. Senat, dass die Suchbe- 
griffe von den Partnerdiensten „plau- 
sibilisiert werden”, um das „Ausspähen 
unter Freunden” oder Industriespiona- 
ge zu verhindern. Der BND dürfe zudem 
von ihm erhobene Verbindungs- und 
Standortdaten nicht „unselektiert” 
ohne jede Kontrollmöglichkeit aus der 
Hand geben. Das Urteil fordert eine 
Kontrolle in institutioneller Eigenstän- 
digkeit. Hierzu gehörten ein eigenes 
Budget, eine eigene Personalhoheit so- 
wie Verfahrensautonomie. Die zustän- 
digen Stellen „sind personell wie säch- 
lich so auszustatten, dass sie ihre Auf- 
gaben wirksam wahrnehmen können”. 
Inhaltlich müssten sie gegenüber dem 
BND „alle für eine effektive Kontrolle er- 
forderlichen Befugnisse haben“. 

Gegen Teile des im Jahr 2016 novel- 
lierten BND-Gesetzes, das dem Aus- 
landsgeheimdienst eine Überwachung 
ganzer Internetknoten und Netze er- 
laubt, hatten Anfang 2018 sieben ins- 
besondere im Ausland investigativ ar- 
beitende Journalisten, die Bereiche wie 
Korruption und Wirtschaftskriminalität 
recherchieren, Verfassungsbeschwer- 
de erhoben. Auch die Organisation Re- 
porters sans Frontieres und damit die 
Mutter des deutschen Ablegers Reporter 
ohne Grenzen (ROG) als juristische Per- 
son, hatte Einspruch erhoben. Unter- 
stützt wurde die Beschwerde von der Ge- 
sellschaft für Freiheitsrechte (GFF), der 
Deutschen Journalisten-Union (dju), 
dem Deutschen Journalisten-Verband 
(DJV) sowie dem Netzwerk Recherche. 


« Datensauger 


Der in Karlsruhe verhandelte Streit 
drehte sich neben der Frage, ob das 
Grundgesetz auch für eine Sicherheits- 
behörde im Ausland gilt, vor allem um 
die „strategische Fernmeldeaufklärung” 
des BND mit ihrem Schwerpunkt Aus- 
land. Der Geheimdienst darf demnach 
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prinzipiell mit dieser „strategischen 
Kontrolle” die internationale Telekom- 
munikation mit bis zu hunderttausen- 
den Selektoren wie Telefonnummern, 
E-Mail-Adressen oder Pseudonymen von 
Nutzern durchforsten und die Inhalte 
analysieren, die in diesem Datenstaub- 
sauger hängenbleiben. Der 1. Senat des 
BVerfG wollte dem BND dieses Instru- 
ment nicht ganz aus der Hand schlagen. 
Er befand, dass es verhältnismäßig und 
damit verfassungsgemäß ausgestaltet 
werden könne. Die beanstandeten Vor- 
schriften gelten daher bis zum Jahres- 
ende 2021 fort, um dem Gesetzgeber 
eine weitere Reform unter Berücksichti- 
gung der grundrechtlichen Anforderun- 
gen zu ermöglichen. 

Die „Rohmasse“ des Datenstaubsau- 
gers ist riesig: Allein am Frankfurter In- 
ternetknoten De-Cix kann der BND täg- 
lich rund 1,2 Billionen Verbindungen 
ausleiten. Davon sollen nach dem Aus- 
sortieren erster IP-Adressen mit klarem 
regionalen Bezug zu deutschen Nutzern 
rund 24 Milliarden Rohdaten übrigblei- 
ben. Im Inland dürfen die darauf ange- 
setzten Suchbegriffe keine Identifizie- 
rungsmerkmale enthalten, mit denen 
sich bestimmte Telekommunikationsan- 
schlüsse gezielt erfassen lassen. Für das 
Ausland gilt dies nicht. Aber auch dort 
sind für den BND etwa Telefonnummern 
deutscher Staatsangehöriger oder einer 
deutschen Gesellschaft tabu, solange es 
sich nicht um „Beifang” handelt. 


° Schutz im Ausland 


Ausländer im Ausland galten bislang 
für den BND als „vogelfrei”, monierten 
Kritiker in den vergangenen Jahren 
immer wieder. Die Frage war im bisher 
letzten Urteil des BVerfG zur Thematik 
aus dem Jahr 1999 offen geblieben. So 
meinte etwa der Verfassungsrechtler 
Eggert Schwan, verletzt sei schon der 
allgemeine Gleichheitssatz aus Artikel 3 
Absatz 1 Grundgesetz, weil es keinen 
sachlich zu rechtfertigenden Grund für 
diese auf den Unterschied zwischen 
Deutschen und Nichtdeutschen abstel- 
lende Ungleichbehandlung gebe. Die 
Verfassungsbestimmungen schützten 
Jedermann, also „alle Menschen“. 

Zuvor hatte die Wende um 180 Grad an 
diesem Punkt schon der vormalige Prä- 
sident des Bundesverfassungsgerichts 
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Hans-Jürgen Papier vollzogen. Das CSU- 
Mitglied hatte nach seinem Ausscheiden 
aus der Richterbank mehrfach erklärt, 
dass auch die Kommunikation im Aus- 
land zwischen Ausländern grundrechts- 
geschützt sei. Die BND-Zugriffe auf 
Datenaustauschpunkte wie den De-Cix 
bezeichnete Papier sogar als „insgesamt 
rechtswidrig”. Das ganze „strategische“ 
Konstrukt passe nicht mehr auf die In- 
ternetkommunikation. 

Ex-BND-Chefs wie Gerhard Schindler 
oder August Hanning hatten vor dem 
Urteilsspruch betont, dass Deutschland 
einen starken, von Dritten unabhängi- 
gen Auslandsgeheimdienst brauche. Der 
BND habe immer wieder entscheidende 
Informationen über das weltpolitische 
Geschehen wie zum Irak-Krieg durch 
das Abhören von Telefonaten und das 
Mitlesen von Mails erhalten. Die Väter 
des Grundgesetzes würden sich im Grabe 
umdrehen, wenn etwa die Kommunika- 
tion der Taliban von Artikel 10 Grund- 
gesetz geschützt sein solle. Aktive und 
frühere Geheimdienstler sahen sogar die 
Sicherheit Deutschland bei einer harten 
Entscheidung des BVerfG bedroht. Sie 
schlossen nicht aus, dass hinter dem Ver- 
fahren eine gezielte geheimdienstlich 
gesteuerte Aktion stecken könnte, um 
der Bundesrepublik zu schaden. 

Das Urteil ist eines in Richtung in- 
ternationale Gewährleistung von Men- 
schenrechten. Anderswo sind ähnliche 
Verfahren anhängig. Der Europäische 
Gerichtshof in Luxemburg (EuGH) 
entscheidet voraussichtlich noch im 
Sommer 2020 zu den Diensten in Groß- 
britannien, Belgien und Frankreich. 
Und der Europäische Gerichtshof für 
Menschenrechte in Straßburg (EGMR) 
hat eine Klage gegen den britischen 
Geheimdienst wegen dessen Massen- 
überwachung auf dem Tisch. Die Ge- 
richtshöfe achten darauf, was andere 
Kollegen entschieden haben, so dass die 
Entscheidung aus Karlsruhe europawei- 
te Wirkung haben kann. 


° Reaktionen 


Die Gesellschaft für Freiheitsrech- 
te (GFF) lobte, der Richterspruch aus 
Karlsruhe setze „neue Standards im in- 
ternationalen Menschenrechtsschutz 
und für die Freiheit der Presse”. Mit der 
Ansage, dass deutsche Behörden auch 


im Ausland an die Grundrechte gebun- 
den sind, werde auch „die Glaubwürdig- 
keit Deutschlands in der Welt” gestärkt. 
Christian Mihr, Geschäftsführer der an 
der Klage beteiligten Reporter ohne 
Grenzen, freute sich, „dass Karlsruhe 
der ausufernden Überwachungspra- 
xis des Bundesnachrichtendienstes im 
Ausland einen Riegel vorschiebt”. Das 
Urteil setze neue Standards im inter- 
nationalen Menschenrechtsschutz und 
für die Pressefreiheit. Die Bundesregie- 
rung bekomme damit die Quittung „für 
ihre jahrelange Weigerung, die digitale 
Massenüberwachung einzuhegen”. Die 
Linksfraktion im Bundestag fühlt sich 
in ihrer Kritik an der Reform des BND- 
Gesetzes bestärkt. Fraktionsvize Andre 
Hahn begrüßte als Mitglied des Parla- 
mentarischen Kontrollgremiums des 
Bundestags (PKGr), dass den Überwa- 
chern der Überwacher elementare Infor- 
mationen über Kooperationen des BND 
mit anderen Auslandsgeheimdiensten 
nicht mehr vorenthalten werden könn- 
ten. Der BND dürfe seine grundrechts- 
widrige Überwachungspraxis nicht bis 
zu einer Novelle ungeniert fortführen. 
Martina Renner, frühere Obfrau der Lin- 
ken im NSA-Untersuchungsausschuss, 
konstatierte eine „schallende Ohrfei- 
ge” für die jahrzehntelang praktizierte 
„Weltraumthreorie” wie für die im BND 
ebenfalls angewendete „Funktionsträ- 
gertheorie”. 

FDP-Fraktionsvize Stephan Thomae 
sieht im Urteil die Bestätigung, „dass 
unsere Werte und elementaren Grund- 
rechte nicht an der Landesgrenze enden 
und auch in der Kooperation mit auslän- 
dischen Diensten berücksichtigt wer- 
den müssen”. Es müsse nun gewährleis- 
tetwerden, „dass der BND sein Vorgehen 
bei der Fernmeldeaufklärung stärker 
begründet“. Konstantin von Notz, Vize- 
Fraktionschef der Grünen und stellver- 
tretender PKGr-Vorsitzender, bezeich- 
nete das Urteil als „wegweisend für die 
Arbeit von Nachrichtendiensten in der 
digitalen Welt und bedeutend für die 
Grundrechte von Millionen Menschen 
weltweit”. Die Enthüllungen Snowdens 
und die anschließende Aufklärung des 
Bundestags hätten die Rolle der deut- 
schen Sicherheitsbehörden ans Tages- 
licht gebracht. Die Bundesregierung 
müsse jetzt schnell die Konsequenzen 
ziehen. 


DANA ® Datenschutz Nachrichten 3/2020 


Klaus Landefeld, Vizechef des eco- 
Verbands der Internetwirtschaft, er- 
klärte, „im Zeitalter digitaler Kommu- 
nikation” hätten die Verfassungshüter 
„das Fernmeldegeheimnis entschieden 
gestärkt” und dessen „extraterritoriale 
Schutzwirkung” erläutert, wonach eine 
„umfassende, unabhängige Kontrolle 
aller Maßnahmen vorab” notwendig sei. 

Enttäuscht gab sich der EU-Abge- 
ordnete Patrick Breyer, da das Gericht 
„anlasslose Massenüberwachung und 
flächendeckende monatelange Vorrats- 
datenspeicherung” nicht generell un- 
tersagt habe. Das Mitglied der Piraten- 
partei forderte zudem: „Verpflichtende 
Ende-zu-Ende-Verschlüsselung und 
wirksame Anonymität müssen unsere 
Sicherheit technisch gewährleisten.” 
Frank Rieger, Sprecher des Chaos Com- 
puter Clubs (CCC), bedauerte, das Ge- 
richt habe nicht die globale BND-Spio- 
nage generell beendet. Es versuche nur, 
„sie in einen konkreteren rechtlichen 
Rahmen zu pressen“. 

Norbert Röttgen (CDU), Vorsitzender 
des Auswärtigen Ausschusses des Bun- 
destags, meinte, die Entscheidung sei 
international „schwer vermittelbar”. 
Indem das Gericht die BND-Abhörpraxis 
im Ausland kippe, werfe es „erhebliche 
Fragen an unsere strategische Opera- 
tions- und Kooperationsfähigkeit auf - 
und das in einer Zeit, in der Aggression 
von außen immer komplexer wird”. 

SPD-Abgeordneter Uli Grötsch, der im 
PKGr sitzt, sieht sich bestätigt: „Grund- 
rechte heißen so, weil sie grundlegend 
für Alle gelten müssen!” Es gelte nun, 
schnell das BND-Gesetz anzupassen 
und dem Geheimdienst „klare Regeln 
für seine Arbeit” zu geben. Die SPD- 
Fraktion sieht sich auch in ihrer Posi- 
tion bestätigt, dass die strategische 
Fernmeldeaufklärung „verfassungs- 
konform ausgestaltet werden” kann. 
Der US-Geheimdienstenthüller Edward 
Snowden nannte das Urteil über seinen 
deutschen Anwalt Wolfgang Kaleck ei- 
nen „Schritt in die richtige Richtung: 
Ich hoffe, dass sich andere Staaten am 
heutigen Gerichtsurteil ein Beispiel 
nehmen und dass auch internationale 
Standards entwickelt werden, um den 
Aufbau solcher Systeme zu verbieten.” 
Snowden habe mit seinen Enthüllungen 
2013 „auch eine Beweisgrundlage für 
Gerichte schaffen” wollen. 
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Die Bundesregierung befürchtete vor- 
ab, dass der BND seine Aufgaben nicht 
mehr erfüllen könne, wenn das Gericht 
dessen Internetaufklärung zu stark in 
die Grenzen weise. BND-Präsident Bru- 
no Kahl hatte in der mündlichen Ver- 
handlung im Januar die Befürchtung 
geäußert, der Dienst würde in einem 
solchen Fall auf einem Auge blind. 20 
Prozent der Meldungen, die der Dienst 
generiere, basierten auf der strategi- 
schen Auslandsüberwachung (Krempl, 
Bundesverfassungsgericht schränkt 
BND-Massenüberwachung deutlich ein, 
www.heise.de 18.05.2020, Kurzlink: 
https://heise.de/-4723874; Krempl, 
BND-Urteil: Bundesverfassungsgericht 
stärkt das Fernmeldegeheimnis inter- 
national, www.heise.de 19.05.2020, 
Kurzlink: https//heise.de/-4724784; 
Janisch, Wie man noch spionieren darf, 
SZ 20./21.05.2020, 5). 


BVerfG 


Die Grenzen des Sag- und 
Postbaren 


Die 2. Kammer des Ersten Senats des 
Bundesverfassungsgerichs (BVerfG) 
hat mit Beschlüssen vom 19.06.2020 
über vier Verfassungsbeschwerden ent- 
schieden, die sich jeweils gegen strafge- 
richtliche Verurteilungen wegen Belei- 
digung richteten (1 BvR 2459/19, 1 BvR 
2397/19, 1BvR 1094/19, 1 BvR 362/18). 
Zwei Verfassungsbeschwerden wurden 
nicht zu Entscheidung angenommen, die 
anderen beiden hatten Erfolg. 

Die Kammer nahm die Verfahren zum 
Anlass, die Grenzen der Meinungsfrei- 
heit bei ehrverletzenden Äußerungen 
und die Reichweite des Schutzes des 
Persönlichkeitsrechts klarzustellen. 
Danach ist bei der Beurteilung, ob eine 
ehrbeeinträchtigende Äußerung rechts- 
widrig und unter den Voraussetzungen 
der 88 185, 193 StGB strafbar ist, in 
aller Regel von einer Abwägung der wi- 
derstreitenden grundrechtlichen Inter- 
essen abhängig, die eine Auseinander- 
setzung mit den konkreten Umständen 
einer Äußerung und ihrer Bedeutung 
erfordert. Das BVerfG fasst die wesentli- 
chen Kriterien zusammen, die bei dieser 
Abwägung von Bedeutung sein können. 
Nur in besonderen Ausnahmefällen und 


nur unter engen Voraussetzungen ist 
eine Abwägung entbehrlich, nämlich 
in den - spezifisch definierten - Fäl- 
len einer Schmähkritik, einer Formal- 
beleidigung oder einer Verletzung der 
Menschenwürde. Die Voraussetzungen 
solcher Fallkonstellationen, die das Ge- 
richt benennt, müssen von den Fachge- 
richten klar kenntlich gemacht und in 
gehaltvoller Weise begründet werden. 
Liegt ein solcher Sonderfall nicht vor, so 
das BVerfG, ist das Ergebnis der Abwä- 
gung nicht präjudiziert. 

In zwei Verfahren hat das BVerfG die 
von den Fachgerichten vorgenommene 
Abwägung, wonach die Beeinträchti- 
gung des Persönlichkeitsrechts die Mei- 
nungsfreiheit überwiegt, nicht bean- 
standet; in den anderen beiden Verfah- 
ren meinte es dagegen, dass keine hin- 
reichende Auseinandersetzung mit den 
konkreten Situationen erkennbar war, in 
denen die Äußerungen gefallen sind. 

1. Dem Verfahren 1 BvR 2397/19, in 
dem die Kammer die auch für die ande- 
ren Verfahren maßgeblichen Maßstäbe 
übergreifend zusammenfasst, liegen 
Äußerungen des Beschwerdeführers in 
einem von ihm geführten Internetblog 
zugrunde. Der Beschwerdeführer hatte 
sich 2002 von seiner damaligen Partne- 
rin getrennt und führte anschließend 
vor verschiedenen bayerischen Gerich- 
ten zahlreiche rechtliche Auseinander- 
setzungen um das Umgangsrecht mit der 
gemeinsamen Tochter, das ihm ab 2012 
ganz verwehrt wurde. 2016 verfasste 
er anlässlich einer für ihn nachteiligen 
Berufungsentscheidung drei weitere 
Einträge, in denen er unter anderem die 
an der Entscheidung beteiligten Richter 
sowie diverse andere Personen nament- 
lich nannte, Fotos von ihnen ins Netz 
stellte und sie mehrfach als „asoziale 
Justizverbrecher”, „Provinzverbrecher” 
und „Kindesentfremder”, die Drahtzie- 
her einer Vertuschung von Verbrechen 
im Amt seien, bezeichnete. Sie hätten 
auf Geheiß des namentlich genann- 
ten „rechtsradikalen” Präsidenten des 
Oberlandesgerichts offenkundig massiv 
rechtsbeugend agiert. Der Beschwer- 
deführer wurde deshalb von den Straf- 
gerichten wegen Beleidigung zu einer 
Geldstrafe verurteilt. Zwar handele es 
sich wegen des sachlichen Bezugs und 
der verständlichen schweren emotio- 
nalen Situation des Beschwerdeführers 
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nicht um Schmähkritik. Bei einer Abwä- 
gung der widerstreitenden grundrecht- 
lichen Interessen überwog jedoch der 
Ehrschutz. Die Kammer beurteilte das 
als verfassungsgemäß. 

2. Dem Verfahren 1 BvR 2459/19 lie- 
gen Äußerungen des Beschwerdefüh- 
rers in einer verwaltungsgerichtlichen 
Klageschrift zugrunde. Die Stadtbib- 
liothek hatte - nach Rücksprache mit 
dem dortigen Rechtsamt - bei der Be- 
stellung eines Buchs von ihm verlangt, 
das Bestellformular selbst auszufüllen. 
Der Beschwerdeführer hatte zuvor eine 
Fernleihgebühr für ein Buch nicht ent- 
richtet, weil er meinte, ein anderes 
Buch bestellt zu haben. Schon zuvor 
hatte die Leiterin des Rechtsamtes in 
einer anderen Angelegenheit Strafan- 
zeige gegen den Beschwerdeführer ge- 
stellt, aufgrund derer ein Strafverfah- 
ren wegen Urkundenfälschung gegen 
ihn eingeleitet worden war. In diesem 
Verfahren hatte er die Einholung eines 
psychiatrischen Gutachtens über deren 
Geisteszustand beantragt. Noch ehe 
über diesen Antrag entschieden worden 
war, erhob der Beschwerdeführer we- 
gen des Streits mit der Stadtbibliothek 
Klage vor dem Verwaltungsgericht. In 
der Klageschrift äußerte er, „unter Be- 
rücksichtigung, ... dass in der Sache 
die Leiterin des Rechtsamtes R., eine 
in stabiler und persönlichkeitsgebun- 
dener Bereitschaft zur Begehung von 
erheblichen Straftaten befindlichen 
Persönlichkeit, deren geistig seelische 
Absonderlichkeiten und ein Gutachten 
zu deren Geisteskrankheit Gegenstand 
von gerichtlichen Auseinandersetzun- 
gen sind, involviert ist”, behalte er sich 
vor, „ein Ordnungsgeld in angemesse- 
ner Höhe zu beantragen“. Aufgrund 
dieser Äußerung verurteilten die Straf- 
gerichte den Beschwerdeführer wegen 
Beleidigung zu einer Geldstrafe. Zwar 
handele es sich nicht um einen Fall der 
Schmähkritik, da ein Sachbezug nicht 
völlig fehle. Die gebotene Abwägung 
falle jedoch zugunsten des Persönlich- 
keitsrechts aus. Auch dies beurteilte die 
Kammer als verfassungsgemäß. 

3. Dem Verfahren 1 BvR 362/18 liegen 
Äußerungen des Beschwerdeführers 
im Rahmen einer Dienstaufsichtsbe- 
schwerde zugrunde. Der als Rechtsan- 
walt tätige Beschwerdeführer vertrat 
2015 einen Tierschutzverein, für den 
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er vor einem Veterinär- und Lebens- 
mittelüberwachungsamt ein Erlaub- 
nisverfahren führte, an dessen Ende 
die vom Verein beantragte Erlaubnis 
erteilt wurde. Anschließend erhob der 
Beschwerdeführer eine Dienstaufsichts- 
beschwerde gegen den zuständigen 
Abteilungsleiter, in der er die Ansicht 
vertrat, das Amt habe eine unglaubliche 
materielle Unkenntnis, langsame Bear- 
beitungszeiten und eine offensichtlich 
vorsätzliche Hinhaltetaktik in der Sache 
gezeigt. Nach Schilderung von aus Sicht 
des Beschwerdeführers kritikwürdigen 
Vorfällen äußerte er, nunmehr gehe 
es noch um die Verfahrenskosten des 
Vereins. Diese habe die Behörde zwar 
bereits formell anerkannt, es scheine 
aber so, als ob der zuständige Abtei- 
lungsleiter durch immer wieder neue 
Vorgaben letztlich die Kosten nicht er- 
statten möchte. Weiter hieß es, dessen 
Verhalten „sehen wir mittlerweile nur 
noch als offenbar persönlich bösartig, 
hinterhältig, amtsmissbräuchlich und 
insgesamt asozial uns gegenüber an“. 
Die Strafgerichte verurteilten den Be- 
schwerdeführer daraufhin wegen Belei- 
digung zu einer Geldstrafe. Durch die 
verwendete Formulierung „persönlich“, 
„hinterhältig” und „asozial” sei es nur 
noch um eine konkrete Diffamierung 
des von ihm namentlich ausdrücklich 
benannten Abteilungsleiters gegangen, 
ohne dass dabei noch ein konkreter Be- 
zug zur Sache erkennbar sei. Die Kam- 
mer beurteilte dies als eine Verletzung 
der Meinungsfreiheit. 

4. Dem Verfahren 1 BvR 1094/19 lie- 
gen Äußerungen des Beschwerdeführers 
in einem einkommensteuerrechtlichen 
Festsetzungsverfahren zugrunde, in 
dem insbesondere die Abzugsfähigkeit 
der Kosten für ein gerichtliches Vorge- 
hen gegen den Rundfunkbeitrag strittig 
war. Der Beschwerdeführer erhielt dabei 
ein Rundschreiben des nordrhein-west- 
fälischen Finanzministers, in dem es 
hieß, Steuern machten „keinen Spaß, 
aber Sinn. Die Leistungen des Staates, 
die wir alle erwarten und gern nutzen, 
gibt es nicht zum Nulltarif“. Daraufhin 
verfasste der Beschwerdeführer ein wei- 
teres Schreiben an die Finanzbehörden, 
das hauptsächlich die Frage der Ab- 
setzbarkeit der Kosten des rechtlichen 
Vorgehens gegen den Rundfunkbeitrag 
zum Gegenstand hatte. Am Ende erklär- 


te er, weitere Dienstaufsichtsbeschwer- 
den jetzt zu erheben, dürfte sinnlos 
sein: „Solange in Düsseldorf eine rote 
Null als Genosse Finanzministerdarstel- 
ler dilettiert, werden seitens des Fiskus 
die Grundrechte und Rechte der Bürger 
bestenfalls als unverbindliche Empfeh- 
lungen, normalerweise aber als Redakti- 
onsirrtum des Gesetzgebers behandelt.” 
Wegen dieser Äußerung verurteilten die 
Strafgerichte den Beschwerdeführer 
wegen Beleidigung zu einer Geldstrafe. 
Der Beschwerdeführer überschreite die 
Grenze eines Angriffs auf die Ehre des 
Finanzministers, den er als Person her- 
abwürdige. Zwar werde nicht verkannt, 
dass die freie Meinungsäußerung ein 
hohes Rechtsgut sei und dass in der 
Öffentlichkeit stehende Personen deut- 
liche Kritik auszuhalten hätten. Doch 
seien auch diese Personen wie andere 
Bürger geschützt, wenn die Grenze ei- 
nes persönlichen Angriffs überschritten 
werde. Auch dies beurteilte die Kammer 
als Verletzung der Meinungsfreiheit. 

Das BVerfG nutzte das Verfahren 
1BvR2397/19,umseineRechtsprechung 
zu Anforderungen des Grundrechts auf 
Meinungsfreiheit an strafrechtliche Ver- 
urteilungen wegen ehrbeeinträchtigen- 
der Äußerungen zusammenzufassen. 

Art. 5 Abs. 1 Satz 1 GG gibt jedem das 
Recht, seine Meinung in Wort, Schrift 
und Bild frei zu äußern und zu verbrei- 
ten, auch wenn dies in polemischer 
oder verletzender Weise geschieht. 
Strafrechtliche Verurteilungen wegen 
Beleidigung (8 185 StGB) greifen in das 
Grundrecht der Meinungsfreiheit ein. Die 
Anwendung dieser Strafnorm erfordert 
eine der Meinungsfreiheit gerecht wer- 
dende Ermittlung des Sinns der infrage 
stehenden Äußerung und darauf auf- 
bauend im Normalfall eine abwägende 
Gewichtung der Beeinträchtigungen, 
die der persönlichen Ehre auf der einen 
und der Meinungsfreiheit auf der ande- 
ren Seite drohen. Hierfür bedarf es einer 
umfassenden Auseinandersetzung mit 
den konkreten Umständen des Falles und 
der Situation, in der die Äußerung fällt. 
Eine ehrbeeinträchtigende Äußerung ist 
daher nur dann eine gemäß & 185 StGB 
tatbestandsmäßige und rechtswidrige 
(8 193 StGB) Beleidigung, wenn das Ge- 
wicht der persönlichen Ehre in der kon- 
kreten Situation die Meinungsfreiheit 
des Äußernden überwiegt. 
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Die Kammer zählt wesentliche Abwä- 
gungsgesichtspunkte, die je nach der 
konkreten Situation zu berücksichti- 
gen sind, auf. Maßgeblich ist, dass die 
konkrete Situation der Äußerung er- 
fasst und unter Berücksichtigung ihrer 
kontextbezogenen Bedeutung wie ihrer 
emotionalen Einbettung in Blick auf die 
betroffenen Grundrechte hinreichend 
gewürdigt wird. Hierfür kann eine recht 
knappe Abwägung genügen. 

Bei der AbwägungistmitBlick aufden 
Inhalt einer Äußerung zunächst deren 
konkreter ehrschmälernder Gehalt er- 
heblich. Dieser hängt insbesondere da- 
von ab, ob und inwieweit die Äußerung 
grundlegende, allen Menschen glei- 
chermaßen zukommende Achtungsan- 
sprüche betrifft oder ob sie eher das je- 
weils unterschiedliche soziale Ansehen 
des Betroffenen schmälert. Das Gewicht 
der Meinungsfreiheit ist umso höher, je 
mehr die Äußerung darauf zielt, einen 
Beitrag zur öffentlichen Meinungsbil- 
dung zu leisten, und umso geringer, je 
mehr es hiervon unabhängig lediglich 
um die emotionalisierende Verbreitung 
von Stimmungen gegen einzelne Perso- 
nen geht. Dadergrundrechtliche Schutz 
gerade aus dem besonderen Schutzbe- 
dürfnis der Machtkritik erwachsen ist, 
istin die Abwägung gegebenenfalls ein- 
zustellen, ob die Privatsphäre des Be- 
troffenen oder sein öffentliches Wirken 
Gegenstand der Äußerung ist. Dabei 
kann zwischen Personen zu unterschei- 
den sein, die wie etwa Politiker bewusst 
in die Öffentlichkeit treten, und sol- 
chen, denen als staatliche Amtswalter 
ohne ihr besonderes Zutun eine Aufga- 
be mit Bürgerkontakt übertragen wur- 
de. Der Gesichtspunkt der Machtkritik 
bleibt allerdings in die Abwägung ein- 
gebunden und erlaubt nicht jede auch 
ins Persönliche gehende Beschimpfung 
von Amtsträgern oder Politikern. Unzu- 
lässig ist eine auf die Person abzielende, 
insbesondere öffentliche Verächtlich- 
machung oder Hetze. 

Mit Blick auf Form und Begleitum- 
stände einer Äußerung ist erheblich, ob 
sie unvermittelt in einer hitzigen Situa- 
tion oder im Gegenteil mit längerem Vor- 
bedacht gefallen ist. Für die Freiheit der 
Meinungsäußerung wäre es abträglich, 
wenn vor einer mündlichen Äußerung 
jedes Wort auf die Waagschale gelegt 
werden müsste. Erheblich ist zudem, ob 
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und inwieweit für die betreffende Äuße- 
rung ein konkreter und nachvollziehba- 
rer Anlass bestand und welche konkrete 
Verbreitung und Wirkung sie entfaltet. 
Erhält nur ein kleiner Kreis von Perso- 
nen von einer ehrbeeinträchtigenden 
Äußerung Kenntnis oder handelt es sich 
um eine nicht schriftlich oder ander- 
weitig perpetuierte Äußerung, ist die 
damit verbundene Beeinträchtigung 
der persönlichen Ehre geringfügiger 
und flüchtiger als im gegenteiligen Fall, 
der je nach Situation bei Äußerungen in 
„sozialen Netzwerken” im Internet ge- 
geben sein kann. Es ist allerdings nicht 
allgemein auf das Medium als solches, 
sondern auf die konkrete Breitenwir- 
kung abzustellen. 

Eine solche Abwägung kann entbehr- 
lich sein, wenn herabsetzende Äuße- 
rungen die Menschenwürde eines an- 
deren antasten oder sich als Formalbe- 
leidigung oder Schmähung darstellen. 
Das BVerfG stellte aber klar, dass es sich 
dabei um Ausnahmefälle handelt, die 
an strenge Voraussetzungen geknüpft 
sind. Es genügt nicht die Behauptung, 
die Voraussetzungen eines Ausnahme- 
tatbestands lägen vor. Die maßgeben- 
den Gründe müssen unter Auseinander- 
setzung mit den objektiv feststellbaren 
Umständen des Falles nachvollziehbar 
dargelegt werden. 

Schmähkritik liegt nicht schon bei 
einem besonderen Gewicht der Ehrbe- 
einträchtigung vor. Eine Schmähung ist 
nicht einfach eine besonders drastisch 
verunglimpfende Form von Beleidi- 
gung, sondern bestimmt sich dadurch, 
dass eine Äußerung keinen irgendwie 
nachvollziehbaren Bezug mehr zu ei- 
ner sachlichen Auseinandersetzung hat 
und es bei ihr allein um das grundlose 
Verächtlichmachen der betroffenen Per- 
son als solcher geht. Es sind dies Fälle, 
in denen eine vorherige Auseinander- 
setzung erkennbar nur äußerlich zum 
Anlass genommen wird, um über andere 
Personen herzuziehen oder sie nieder- 
zumachen, etwa aus verselbständigter 
persönlicher Feindschaft („Privatfeh- 
de“) oder aber auch dann, wenn - ins- 
besondere unter den Kommunikations- 
bedingungen des Internets - Personen 
ohne jeden nachvollziehbaren Bezug zu 
einer Sachkritik grundlos aus verwerfli- 
chen Motiven wie Hass- oder Wutgefüh- 
len heraus verunglimpft und verächtlich 


gemacht werden. Davon abzugrenzen 
sind Fälle, in denen die Äußerung, auch 
wenn sie gravierend ehrverletzend und 
damit unsachlich ist, letztlich (über- 
schießendes) Mittel zum Zweck der Kri- 
tik oder Ausdruck der Empörung über 
bestimmte Vorkommnisse ist und damit 
nicht allein der Verächtlichmachung 
von Personen dient. 

Um eine Formalbeleidigung handelt 
es sich, wenn mit Vorbedacht und nicht 
nur in der Hitze einer Auseinanderset- 
zung, nach allgemeiner Auffassung be- 
sonders krasse, aus sich heraus herab- 
würdigende Schimpfwörter - etwa aus 
der Fäkalsprache - verwendet werden. 
Beiihnen ist das maßgebliche Kriterium 
nicht der fehlende Sachbezug einer He- 
rabsetzung, sondern die kontextunab- 
hängig gesellschaftlich absolut missbil- 
ligte und tabuisierte Begrifflichkeit, die 
die Betroffenen insgesamt verächtlich 
macht, und damit die spezifische Form 
dieser Äußerung. 

Die Meinungsfreiheit muss zudem 
stets zurücktreten, wenn eine Äußerung 
die Menschenwürde eines anderen ver- 
letzt. Dies kommt nur in Betracht, wenn 
sich die Äußerung nicht lediglich gegen 
einzelne Persönlichkeitsrechte richtet, 
sondern einer konkreten Person den 
ihre menschliche Würde ausmachen- 
den Kern der Persönlichkeit abspricht 
(BVerfG, PM Nr. 49/2020 v. 19.06.2020, 
Klarstellung verfassungsrechtlicher 
Maßgaben für strafrechtliche Verurtei- 
lungen wegen ehrbeeinträchtigender 
Äußerungen). 


BVerfG 


Beschränktes „Recht auf 
Vergessenwerden“ bei 
Promis 


Das Bundesverfassungsgericht 
(BVerfG) stellte in einem Beschluss vom 
23.06.2020 fest, dass ein Prominenter, 
der vor 40 Jahren an der Uni schummel- 
te, auch heute noch Berichte darüber 
aushalten muss, und bekräftigte damit 
die Pressefreiheit bei der Berichterstat- 
tung über weit zurückliegende Fehl- 
tritte bekannter Persönlichkeiten (Az. 
1 BvR 1240/14). Die Möglichkeit, Dinge 
zu erwähnen, die der Betroffene ungern 
über sich in der Zeitung liest, erlösche 
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nicht „schematisch durch bloßen Zeit- 
ablauf“. Demzufolge kann die Presse 
selbst beurteilen, welche Umstände sie 
für erheblich hält - auch in Zeiten des 
Internets. Maßgeblich seien das Be- 
richterstattungsinteresse und dass es 
für die Erwähnung „objektivierbare An- 
knüpfungspunkte“” gibt. 

Geklagt hatte ein Wirtschaftsmagazin. 
Darin war 2011 ein mehrseitiges Porträt 
über einen Unternehmer erschienen, 
der damals als Vorstandsvorsitzender 
ein börsennotiertes Krankenhausunter- 
nehmen leitete. In dem Beitrag wurde 
geschildert, dass der Firmenchef und 
frühere Spitzenkandidat der rechtskon- 
servativen Schillpartei Jura studiert 
hatte und wegen eines Täuschungsver- 
suchs 1983 vom Staatsexamen ausge- 
schlossen wurde. Gegen den Bericht 
hatte der Mann erfolgreich geklagt. Die 
Gerichte in Hamburg argumentierten 
damals, er dürfe nicht dauerhaft an den 
Pranger gestellt werden. 

Das BVerfG entschied nun, dass die- 
se Gerichtsentscheidungen verkennen, 
dass der Unternehmer öffentlich tätig 
war und selbst die Öffentlichkeit suchte. 
Eine Person wie er könne „nicht verlan- 
gen, dass ihre in der Vergangenheit lie- 
genden Fehler, nicht aber ihre Vorzüge, 
in Vergessenheit geraten”. Die Gefahr, 
ausgegrenzt zu werden, bestehe nicht. 
Der Täuschungsversuch sei „kein Makel, 
der geeignet wäre, das Gesamtbild einer 
Person zu dominieren und ein selbstbe- 
stimmtes Privatleben des Betroffenen 
ernstlich zu gefährden”. 

Der Beschluss weist aber auch darauf 
hin, dass es andere Fälle geben kann: 
Menschen, die dazu keinen Anlass gä- 
ben, müssten es nicht unbegrenzt hin- 
nehmen, „in aller Öffentlichkeit mit 
ihrem gesamten, teils lange zurücklie- 
genden Verhalten förmlich zermürbt zu 
werden”. Grenzen der Berichterstattung 
liegen vor, wenn der Kern der Privat- 
sphäre betroffen ist, etwa bei Ausfüh- 
rungen zur sexuellen Orientierung. Un- 
zulässig ist es demnach, wenn die Be- 
richterstattung den Betroffenen wegen 
seines lang zurückliegenden Verhaltens 
„förmlich zermürbt“”. Dies sei hier nicht 
der Fall gewesen. Das Landgericht Ham- 
burg muss nun noch einmal über die 
Klage des Mannes entscheiden und die 
Vorgaben aus Karlsruhe berücksichti- 
gen (Prominente müssen sich Berichte 
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über frühere Fehltritte gefallen lassen, 
www.spiegel.de 09.07.2020; Vergange- 
ne Fehler, SZ 10.07.2020, 27). 


BVerfG 


Journalistischer Persönlich- 
keitsschutz erst bei Foto- 
Publikation 


Das Bundesverfassungsgericht (BVerfG) 
hat mit Beschluss vom 23.06.2020 die 
strafrechtliche Verurteilung eines Fo- 
tojournalisten wegen Verletzung der 
Pressefreiheit aufgehoben, der in einer 
Krankenhausnotaufnahme entgegen 
dem Wunsch der Betroffenen Fotos 
machte, wovon eines später unverpixelt 
im Internet unter bild.de veröffentlicht 
worden war (Az. 1 BvR 1716/17). 

Es war im Oktober 2014, als der Foto- 
graf das Wort „Ebola” an der Anmeldung 
der Notaufnahme des Krankenhauses aus 
dem Gespräch zwischen einem Mann und 
Klinikmitarbeitern aufschnappte und 
dann weiter die Worte Kongo, Belgien 
und Fieber. Er wurde aufgefordert, bit- 
te Abstand zu halten und man händigte 
ihm Mundschutz und Handschuhe aus. 
Für einen Fotografen, der gerade an einer 
Dokumentation über die sich damals ver- 
breitende Epidemie arbeitete, genügten 
die Wortfetzen, um auf den Auslöser zu 
drücken: ein Ebola-Verdachtsfall im offe- 
nen Wartebereich, wo 40 Patienten war- 
teten. Das Foto landete auf Bild.de unter 
der Schlagzeile „Ebola Panne in NRW? Vi- 
rus-Verdächtiger musste auf Klinik-Flur 
warten.” Auf dem Foto war der dunkel- 
häutige Patient deutlich erkennbar. Dem 
Fotografen trug das unverpixelt bei Bild. 
de veröffentlichte Foto eine Geldstrafe 
in Höhe von 3200 Euro (40 Tagessätze) 
wegen unbefugter Weitergabe von Bild- 
aufnahmen ein. Der Mann hatte sich die 
Fotos noch auf dem Klinikflur verbeten, 
die behandelnde Ärztin verlangte deren 
Löschung und informierte den Fotogra- 
fen, dass sich der Ebola-Verdacht nicht 
bestätigt habe. 

Die Aufhebung der Verurteilung be- 
gründete das BVerfG wie folgt: Ob ein 
Foto zum Schutz der Betroffenen verpi- 
xelt werden muss oder nicht, das habe 
die Redaktion vor der Veröffentlichung 
zu entscheiden und nicht bereits der 
Fotograf, bevor er die Aufnahmen über- 


haupt anbietet. Das bloße Anfertigen 
der Bilder und die anschließende Wei- 
tergabe an die Zeitung dient danach 
der Vorbereitung einer Veröffentlichung 
und ist geschützt von der Pressefreiheit: 
„Es liegt jedenfalls in der Regel in der 
Verantwortung der jeweiligen Redak- 
tionen, bei einer Veröffentlichung von 
Bildaufnahmen die Rechte der Abgebil- 
deten zu wahren”. 

Zwar spricht, so das BVerfG im kon- 
kreten Fall, viel dafür, dass das Gesicht 
des Patienten hätte verpixelt werden 
müssen, trotz des großen öffentlichen 
Interesses, auf das sich die Zeitung für 
Berichte über unzureichende Sicher- 
heitsvorkehrungen in einer Klinik be- 
rufen konnte. Ein solches Foto bedeute 
eine erhebliche Stigmatisierung und 
öffentliche Bloßstellung des Mannes, 
womit das Landgericht Köln die straf- 
rechtliche Verurteilung begründet hat- 
te. Laut BVerfG muss der Fotograf den 
Kollegen in der Redaktion nicht die 
Entscheidung darüber abnehmen, was 
gezeigt werden darf und was nicht. 

Damit seien aber die Fotografen nicht 
bloße Diener ihrer Herren in der Redak- 
tion. Der Kontext, in dem eine Aufnahme 
gemacht wurde, kann für die Frage ent- 
scheidend sein, ob und in welcher Form 
ein Bild gedruckt oder veröffentlicht 
werden darf. Im konkreten Fall war es 
nicht ganz eindeutig, wie präzise der Fo- 
tograf die Redaktion über die Situation 
im Klinikflur informiert hatte; jedenfalls 
hatten mehrere Nachrichtenagenturen 
zuvor das Foto dankend abgelehnt. Über 
Verpixelung wurde mit Bild.de nicht ge- 
sprochen, soviel ist klar. Aber das BVerfG 
unterstellte, dass er die Redaktion ord- 
nungsgemäß über den Widerspruch des 
Betroffenen und den Protest der Ärztin 
in Kenntnis gesetzt habe; dass dies ver- 
schwiegen worden wäre, sei jedenfalls 
nicht gerichtlich festgestellt worden 
(Janisch, Die Pflicht zum Pixeln liegt bei 
der Redaktion, www.sueddeutsche.de 
08.07.2020 =SZ 09.07.2020, 15). 


BVerfG 


8 113 Telekommunikations- 
gesetz verfassungswidrig 


Das Bundesverfassungsgericht (BVerfG) 
in Karlsruhe stellte in einem Beschluss 
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vom 27.05.2020 fest, dass der aktuell 
praktizierte Abruf von den bei Telekom- 
munikationsunternehmen gespeicher- 
ten Bestands- und Abrechnungsdaten 
sowie PIN-Nummern durch Strafverfol- 
ger und Nachrichtendienste gegen die 
informationelle Selbstbestimmung und 
das allgemeine Persönlichkeitsrecht ver- 
stößt (1 BvR 1873/13, 1 BvR 2618/13). 
& 113 des Telekommunikationsgeset- 
zes (TKG) und mehrere Fachgesetze des 
Bundes, die die Bestandsdatenauskunft 
regeln, wurden für verfassungswidrig er- 
klärt: „Sie verletzen die Beschwerde füh- 
renden Inhaber von Telefon- und Inter- 
netanschlüssen in ihren Grundrechten 
auf informationelle Selbstbestimmung 
sowie auf Wahrung des Telekommunika- 
tionsgeheimnisses.” 

Die Beschwerde des Piraten-Politikers 
Patrick Breyer und seiner ehemaligen 
Kollegin Katharina Nocun hatte sich 
gegen eine 2013 auf Druck des Verfas- 
sungsgerichts schon einmal nachge- 
besserte Regelung gerichtet. Die Ent- 
scheidung der Karlsruher Richter stellt 
zugleich die gerade erst verabschiedete 
Regelung zur Bestandsdatenauskunft 
im Gesetz gegen Hasskriminalität in 
Frage. Breyer unterstrich, dass der Zu- 
griff des Staates auf Kommunikations- 
daten mit richterlicher Anordnung und 
zur Aufklärung schwerer Straftaten oder 
zur Abwehr von Gefahren für wichtige 
Rechtsgüter unbestritten sei, gerade 
auch vor dem Hintergrund des härter 
gewordenen Tons im Netz: „Das Gesetz 
zur Bestandsdatenauskunft geht aber 
weit darüber hinaus. Es erfasst schon 
Ordnungswidrigkeiten, gilt für Geheim- 
dienste, betrifft Personen, die keinerlei 
Straftat verdächtig sind.” 

So sah esnun auch der erste Senat des 
BVerfG. Die Erteilung einer Auskunft 
über Bestandsdaten sei grundsätzlich 
verfassungsrechtlich zulässig. Der Ge- 
setzgeber müsse aber „sowohl für die 
Übermittlung der Bestandsdaten durch 
die Telekommunikationsanbieter als 
auch für den Abruf dieser Daten durch 
die Behörden jeweils verhältnismäßige 
Rechtsgrundlagen schaffen.” Übermitt- 
lungs- und Abrufregelungen müssten 
die Verwendungszwecke der Daten hin- 
reichend begrenzen und dabei die Tiefe 
des Eingriffs in die Privatsphäre an den 
jeweiligen Tatbestand anpassen. Auch 
die Möglichkeit für die Betroffenen, 
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sich gerichtlich gegen die Maßnahmen 
zu wehren, muss ausbalanciert sein. 
„Die genannten Voraussetzungen wur- 
den von den angegriffenen Vorschriften 
weitgehend nicht erfüllt.“ Im Übrigen 
habe man „wiederholend festgestellt, 
dass eine Auskunft über Zugangsdaten 
nur dann erteilt werden darf, wenn die 
gesetzlichen Voraussetzungen für ihre 
Nutzung gegeben sind.” 

Mit den jetzt für verfassungswidrig 
erklärten Bestimmungen im TKG fallen 
auch die korrespondierenden Abrufre- 
gelungen im Bundeskriminalamtsgesetz 
(BKAG), im Bundespolizeigesetz, im 
Zollfahndungsdienstgesetz, im Bundes- 
verfassungsschutzgesetz, im BND-Gesetz 
und im MAD-Gesetz. Diese „genügen 
weitgehend ebenfalls nicht den verfas- 
sungsrechtlichen Anforderungen“. 

Das BVerfG räumte ein, dass die Ab- 
rufregelungen einigermaßen bestimmte 
und normenklare spezifische Ermäch- 
tigungsgrundlagen geschaffen haben. 
Mit Blick auf ihr Eingriffsgewicht sei 
die Verhältnismäßigkeit aber „überwie- 
gend” nicht gewahrt. Beispielsweise 
müssten „Abrufregelungen, die zum Ab- 
rufvon Bestandsdaten anhand dynami- 
scher IP-Adressen ermächtigen, neben 
einer hinreichenden Begrenzung der 
Verwendungszwecke auch eine nach- 
vollziehbare und überprüfbare Doku- 
mentation der Entscheidungsgrundla- 
gen des Abrufs vorsehen“. Dies war im 
Gesetz nicht vorgesehen. 

Das BVerfG betonte, dass es gerade mit 
Blick auf den nachrichtendienstlichen 
Zugriff, beziehungsweise den Zugriff 
für die Gefahrenabwehr, „grundsätzlich 
einer im Einzelfall vorliegenden konkre- 
ten Gefahr und für die Strafverfolgung 
eines Anfangsverdachts” bedarf. Breyer 
und Nocun hatten in ihrer Beschwerde 
gewarnt, dass nicht zuletzt durch die 
Auflagen für Telekommunikationspro- 
vider, eine technische Schnittstelle vor- 
zuhalten, zu einem massenhaften Abruf 
ermuntert werde. In diesem Argument 
sahen sich die Bürgerrechtler auch 
durch die Stellungnahme der damali- 
gen Bundesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI), Andrea Voßhoff, und anderer 
Datenschützer bestätigt. 

Voßhoff hatte gemahnt, dass das Aus- 
kunftsrecht der Behörden praktisch un- 
beschränkt sei. Auch der nach und nach 


bekannt gewordene Anstieg manueller 
Abfragen durch das BKA von gut 2000 
Anfragen 2013 auf 17.428 Anfragen 
2017 mit weiterhin steigender Tendenz 
und einer hohen Dunkelziffer bestätigte 
die Sorgen der Beschwerdeführer. 

Die Entscheidung ist aus Sicht der 
Beschwerdeführer hochrelevant für 
das jüngst beschlossene Gesetz zur 
„Hasskriminalität”, das den staatli- 
chen Datenzugriff auf Internetunter- 
nehmen wie Facebook, Google oder 
Twitter erweitert. Breyer: „Mit dem 
‚Gesetz zur Bekämpfung des Rechtsex- 
tremismus und der Hasskriminalität‘ 
wird die Bestandsdatenauskunft auf 
Telemediendienste sogar noch erweitert 
(s. u.a. 88 15a, 15b TKG). Sogar Inter- 
net-Passwörter sind zu beauskunften.” 
Leider komme das Urteil nun zu spät, 
um noch im aktuellen Gesetzgebungs- 
verfahren berücksichtigt zu werden. 
„Wir müssen daher möglicherweise 
erst jahrelang erneut aufwendig Ver- 
fassungsbeschwerde erheben.” Er habe 
das Bundesverfassungsgericht gebeten, 
vor Beschluss dieses Gesetzes zu ent- 
scheiden, aber ohne Erfolg. Angesichts 
der vielen Klagen, die der Gesetzgeber 
besorgten Bürgern und Politiker in den 
vergangenen Jahren aufgebürdet hat, 
konstatiert er einen Konstruktions- 
fehler im gesetzgeberischen System. 
Grundrechtswidrige Überwachungsge- 
setze für „sicherheitsfanatische Politi- 
ker ‚lohnten’ (sich), weil sie schlimms- 
ten- oder bestenfalls Jahre später zu- 
rückgestutzt würden, jeweils noch mit 
Übergangszeit. Die Politik betreibt vor- 
sätzlichen Verfassungsbruch.” 

Den Piraten schweben zur Verhinde- 
rung verfassungswidriger Gesetze meh- 
rere neue Mechanismen vor. So sollen 
ein Drittel des Deutschen Bundestages 
oder zwei Fraktionen das Recht erhal- 
ten, ein Rechtsgutachten des Bundes- 
verfassungsgerichts zur Verfassungs- 
konformität eines Gesetzesvorhabens 
einzuholen. Außerdem soll der Bundes- 
präsident bei verfassungsrechtlichen 
Zweifeln vor der Ausfertigung eines 
Gesetzes das Bundesverfassungsgericht 
anrufen können. Schließlich sollen 
nach dem Vorbild anderer Verbandskla- 
gerechte auch Bürgerrechtsorganisati- 
onen die Möglichkeit bekommen, stell- 
vertretend für die Allgemeinheit vor den 
Fachgerichten und dem Bundesverfas- 
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sungsgericht gegen Grundrechtsverlet- 
zungen zu klagen. 

Das Telekommunikationsgesetz und 
entsprechende Vorschriften in anderen 
Gesetzen müssen nun bis spätestens 
Ende 2021 überarbeitet werden. So- 
lange bleiben die beanstandeten Re- 
gelungen unter bestimmten Maßregeln 
in Kraft (Ermert, Verfassungsgericht: 
Staatlicher Zugriff auf Bestandsdaten 
muss begrenzt werden, www.heise.de 
17.07.2020, Kurzlink: https://heise. 
de/-4846316). 


BGH 


EuGH soll Verbandsklage- 
befugnis nach DSGVO 
klären 


Der Bundesgerichtshof (BGH) leg- 
te mit Beschluss von 28.05.2020 dem 
Europäischen Gerichtshof (EuGH) die 
Frage vor, ob ein Verbraucherverband, 
hier der Verbraucherzentrale Bundes- 
verband (vzbv), ohne Auftrag von Be- 
troffenen gegen Datenschutzverstöße 
gerichtlich vorgehen darf (Az. I ZR 
186/17). Im Ausgangsverfahren geht es 
um ein sogenanntes App-Zentrum von 
Facebook, in dem Nutzer kostenlos auf 
Online-Spiele anderer Anbieter zugrei- 
fen können. Im November 2012 wurden 
hier mehrere Spiele angeboten, bei de- 
nen unter dem Button „Sofort spielen” 
folgende Hinweise zu lesen waren: 
„Durch das Anklicken von ‚Spiel spielen’ 
oben erhält diese Anwendung: Deine 
allgemeinen Informationen, Deine- 
Mail-Adresse, Über Dich, Deine Status- 
meldungen. Diese Anwendung darf in 
deinem Namen posten, einschließlich 
deinen Punktestand und mehr.” Bei ei- 
nem Spielendeten die Hinweise mit dem 
Satz: „Diese Anwendung darf Statusmel- 
dungen, Fotos und mehr in deinem Na- 
men posten.” Dagegen klagte der vzbv 
und beanstandete die gegebenen Hin- 
weise als unlauter unter anderem unter 
dem Gesichtspunkt des Rechtsbruchs 
wegen der fehlenden Einholung einer 
wirksamen datenschutzrechtlichen Ein- 
willigung des Nutzers. Ferner sah er in 
dem abschließenden Hinweis bei einem 
Spiel eine den Spieler unangemessen 
benachteiligende allgemeine Geschäfts- 
bedingung. 
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Das angerufene Landgericht Berlin 
hat Facebook deswegen antragsge- 
mäß verurteilt (U.v. 28.10.2014 - 16 
0 60/13). Das soziale Netzwerk soll es 
unterlassen Spiele so zu präsentieren, 
dass Nutzer mit dem Betätigen eines 
Buttons dem Spieleanbieter erlauben, 
personenbezogene Daten in ihrem Na- 
men zu posten. Die Berufung der Be- 
klagten beim Kammergericht Berlin 
hatte keinen Erfolg (U. v. 22.09.2017 - 
5 U 155/14). Mit ihrer vom Berufungs- 
gericht zugelassenen Revision verfolgt 
Facebook den Antrag auf Klageabwei- 
sung jedoch weiter. 

Der BGH hat die Sache nun an den 
EuGH zur Vorabentscheidung vorge- 
legt. Der soll klären, ob die getroffenen 
Bestimmungen nationalen Regelungen 
entgegenstehen oder nicht. Ob Mitbe- 
werber, Verbände und andere Institu- 
tionen wegen Verstößen gegen die Da- 
tenschutz-Grundverordnung (DSGVO) 
unabhängig von der Verletzung kon- 
kreter Rechte einzelner betroffener Per- 
sonen und ohne Auftrag einer betrof- 
fenen Person gegen den Verletzer vor 
Zivilgerichten vorgehen dürfen, ist bei 
Fachleuten und in der Rechtsliteratur 
umstritten und bedarf einer verbindli- 
chen Feststellung. Der EuGH hat zwar 
schon entschieden, dass die Regelun- 
gen der - bis zum Inkrafttreten der DS- 
GVO am 25.05.2018 geltenden - Richt- 
linie 95/46/EG (Datenschutzrichtlinie) 
einer Klagebefugnis von Verbänden 
nicht entgegenstehen (U. v. 29.07.2019 
- C-40/17). Dieser Entscheidung ist al- 
lerdings nicht zu entnehmen, ob diese 
Klagebefugnis unter Geltung der an die 
Stelle der Datenschutzrichtlinie getre- 
tenen Datenschutz-Grundverordnung 
fortbesteht (Dierks, EuGH soll klären, 
ob Verbraucherschützer klagen dürfen, 
www.heise.de 28.05.2020, Kurzlink: 
https://heise.de/-4768144). 


BGH 


Facebook missbraucht 
Marktmacht beim 
Zusammenführen von 
Nutzerdaten 


Der Bundesgerichtshof (BGH) hat mit 
Beschluss vom 23.06.2020 eine Ver- 
botsverfügung des Bundeskartellamtes 


(BKartA) in Bonn formell bestätigt, dass 
der Konzern seine marktbeherrschende 
Stellung ausgenutzt hat, um die Nutzer 
zur Preisgabe ihrer Nutzungsdaten zu 
bewegen und verpflichtet ist, die Zusam- 
menführung von Nutzerdaten zu stoppen 
(Az. KVR 69/19). Das Bundeskartellamt 
hatte Anfang 2019 dem US-Konzern 
aufgegeben, das Zusammenführung von 
Nutzerdaten aus den unterschiedlichen 
Diensten wie WhatsApp und Instagram 
und das Sammeln von Nutzerdaten auf 
fremden Websites etwa mit dem „Gefällt- 
mir“-Button (sog. Off-Facebook-Daten) 
einzustellen (DANA 2/2019, 84 £.). Ins- 
besondere die Übernahme von WhatsApp 
durch Facebook war den Kartellwächtern 
ein Dorn im Auge, mit der sich der Kon- 
zern eine unangefochtene Vormachtstel- 
lung auf dem Markt für Instant-Messen- 
ger sicherte. 

Das Oberlandesgericht Düsseldorf 
(OLG) hatte jedoch mit Beschluss vom 
26.08.2019 den Vollzug der Entschei- 
dung außer Kraft gesetzt, da die Rich- 
ter Zweifel hatten, ob die Verfügung 
rechtlich Bestand haben könnte (DANA 
4/2019, 239 f.). Mit dem Beschluss des 
BGH wurde dieser Stopp wieder aufge- 
hoben: Nur wenn die Nutzer explizit 
zustimmen, darf Facebook weiterhin 
Daten zusammenführen. Der BGH hat 
nach seiner vorläufigen Bewertung 
„keine ernstlichen Zweifel”, dass Face- 
book seine marktbeherrschende Stel- 
lung missbraucht hat. Bei der rechtli- 
chen Bewertung spielen vor allem zwei 
Aspekte eine Rolle: Zum einen hatte 
sich das BKartA bei seiner Entscheidung 
sehr ausführlich auf Verstöße gegen 
die Datenschutz-Grundverordnung ge- 
stützt, obwohl die Bonner Behörde in 
diesem Bereich keine direkte Zustän- 
digkeit hat. Das OLG stellte infrage, ob 
das Abfordern von Daten der Endnutzer 
mit einer missbräuchlichen Preisset- 
zung zu vergleichen sei, gegen die die 
Kartellwächter vorgehen können. 

Zum anderen stellt sich die Frage, 
nach welchen Maßstäben eine marktbe- 
herrschende Stellung im Social-Media- 
Markt gemessen werden sollte. Face- 
book verweist auf einen gesunden Wett- 
bewerb mit Apps wie YouTube, Twitter 
und Snapchat, während das BKartA auf 
die Nutzungszahlen der von Facebook 
betriebenen Angebote verwies. Hier sei 
Facebook weit vor der Konkurrenz. 
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In beiden Punkten stellten sich die 
Karlsruher Richter hinter die Bonner 
Behörde, legten aber deutlich andere 
Begründungen zugrunde: „Es bestehen 
weder ernsthafte Zweifel an der markt- 
beherrschenden Stellung von Facebook 
auf dem deutschen Markt für soziale 
Netzwerke noch daran, dass Facebook 
diese marktbeherrschende Stellung 
mit den vom Kartellamt untersagten 
Nutzungsbedingungen missbräuchlich 
ausnutzt.” Ein Verstoß gegen die Daten- 
schutz-Grundverordnung stehe hierbei 
aber nicht im Vordergrund. Entschei- 
dend sei vielmehr, dass den privaten Fa- 
cebook-Nutzern keine Wahlmöglichkeit 
gelassen werde, auf welche Daten der 
Konzern konkret zugreifen kann: „Face- 
book muss den Nutzern die Möglichkeit 
geben, weniger von sich preiszugeben.” 
So können Nutzer der Übernahme von 
Daten aus Dritt-Quellen nicht wirksam 
widersprechen, wenn sie den Geschäfts- 
bedingungen von Facebook insgesamt 
zustimmen. 

Zwar kann Facebook dank der Ende- 
zu-Ende-Verschlüsselung die Nachrich- 
ten zwischen WhatsApp-Nutzern nicht 
direkt mitlesen. Die Datenschutzer- 
klärung gibt Facebook allerdings freie 
Bahn, alle begleitenden Daten auszu- 
werten - von der verwendeten Telefon- 
nummer über die Facebook-ID parallel 
installierter Apps bis hin zum Akkula- 
dezustand eines Smartphones. Diese 
Daten werden laut WhatsApp auch mit 
Daten Dritter kombiniert und zum Mar- 
keting verwendet. Auch über auf Dritt- 
Websites eingebettete Facebook-Pixel 
und PlugIns in Apps sammelt Facebook 
viele Nutzungsdaten, um sie zur Werbe- 
vermarktung zu nutzen. 

Angesichts der enormen Datenfülle 
könne der Nutzer nicht mehr das Recht 
auf informelle Selbstbestimmung wahr- 
nehmen. Der BGH verweist auf den 
„Lockin-Effekt”: Zwar können sich die 
Nutzer problemlos auch bei anderen so- 
zialen Netzwerken anmelden. Wenn sie 
mit ihrem Kontaktnetzwerk auf Kanälen 
außerhalb von Facebook in Verbindung 
bleiben wollen, ist dies jedoch mit enor- 
mem Aufwand verbunden, wenn nicht 
gar unmöglich, da man jeden Kontakt 
überreden muss, sich beim gleichen 
Konkurrenten anzumelden. 

Gäbe es tatsächlich einen funktionie- 
renden Wettbewerb, sei zu erwarten, 
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dass es auch datenschonendere Ange- 
bote gebe. Die Endnutzer haben nach 
Überzeugung des Gerichts hier klare 
Prioritäten. Diese wahrzunehmen sei 
aber kaum möglich, wenn Facebook 
dank seiner Marktmacht einen enormen 
Informationsvorsprung aufgebaut habe 
und so ein für Nutzer wesentlich attrak- 
tiveres Angebot aufbauen könne. Zu- 
dem könne Facebook dank seiner Größe 
viel höhere Werbeerträge erzielen als 
potenzielle Konkurrenten. Alles in allem 
diagnostizieren die Richter somit einen 
Missbrauch der marktbeherrschenden 
Stellung. 

Der Kartellsenat des BGH hat mit 
seinem Beschluss eine grundlegen- 
de Weichenstellung vorgenommen. 
So könnte das Geschäftsgebaren von 
Facebook auch eingeschränkt wer- 
den, wenn keine marktbeherrschen- 
de Stellung auf dem Werbemarkt für 
soziale Netzwerke nachgewiesen sei: 
„Die Beeinträchtigung muss nicht auf 
dem beherrschten Markt eintreten, 
sondern kann auch auf einem nicht 
beherrschten Drittmarkt eintreten.” 
Zwar handelt es sich bei dem BGH-Be- 
schluss nur um eine vorläufige Eilent- 
scheidung, doch hat sich das Gericht 
bei einigen zentralen Fragen klar fest- 
gelegt. Die Daten, die ein Nutzer her- 
gibt, sind nicht allein schützensbe- 
dürftige Informationen, sondern Ein- 
trittspreis für die schöne bunte Netz- 
werkwelt. Facebook-Anwalt Thomas 
Winter hatte vorgetragen, es könne 
ja wohl nicht sein, dass Facebook ge- 
zwungen werde, den Kunden anstatt 
des besten Produkts eine schlechtere 
Leistung anzubieten. Dem hielt der 
BGH-Senatsvorsitzende Peter Meier- 
Eck entgegen, es könne nicht richtig 
sein, dass ein marktbeherrschender 
Akteur bei der Entwicklung seiner An- 
gebote keinen Schranken unterliege. 
Facebook sei „ubiquitär”. Der Vertre- 
ter des BKartA Jörg Nothdurft hatte 
zuvor gemeint: „Dass man mit seinem 
gesamten Surfverhalten bezahlt, um 
Facebook zu nutzen, ist kartell- und 
datenschutzrechtlich nicht hinnehm- 
bar“ (Kleinz, BGH: Bundeskartell- 
amt darf Facebooks Datensammlung 
stoppen, www.heise.de 23.06.2020; 
Kurzlink: https://heise.de/-4793293; 
Janisch, Bundeskartellamt gegen Fa- 
cebook, SZ 24.06.2020, 18). 


BGH 


Werbe-Cookies nur mit aus- 
drücklicher Einwilligung 


Der Bundesgerichtshof (BGH) hat mit 
Urteil vom 28.05.2020 auf die Klage des 
Verbraucherzentrale Bundesverbands 
(vzbv) gegen Planet49 entschieden, 
dass Website-Betreiber die Zustimmung 
zur Speicherung der Cookies von Drit- 
tanbietern nicht einfach voraussetzen 
dürfen (Az. IZR 7/16). Konkret ging es 
um zwei Sachverhalte: Zum einen hatte 
Planet49 die „Zustimmung“ zu Cookies 
eingeholt, indem den Nutzern ein vor- 
ausgewähltes Ankreuzfeld präsentiert 
wurde. Wählten die Nutzer das Feld 
nicht explizit ab, ging der Anbieter von 
einer erteilten Zustimmung aus. Zudem 
wurde von den Gewinnspielteilnehmern 
weitgehende Zustimmung zu invasiven 
Werbemaßnahmen wie Werbeanrufen 
abverlangt. 

In beiden Fällen entschieden die 
Karlsruher Richter im Sinne der klagen- 
den Verbraucherschützer. Sowohl zur 
telefonischen Werbung als auch zum 
Weiterreichen einer Cookie-ID an Dritt- 
unternehmen fehle es an einer wirk- 
samen Einwilligung der Verbraucher. 
Eine solche liege erst vor „wenn der 
Verbraucher weiß, dass seine Erklärung 
ein Einverständnis darstellt und wor- 
auf sie sich bezieht”. Zwar konnten die 
Gewinnspielteilnehmer in einem Dialog 
aussuchen, mit welchen Sponsoren sie 
Daten teilen wollten - diese Informati- 
onen waren jedoch erst nach weiteren 
Klicks ersichtlich. 

Deutschland hatte in Sachen Cookies 
einen Sonderweg eingeschlagen, in- 
dem es im Telemediengesetz (TMG) die 
Vorgaben aus dem europäischen Recht 
nicht vollständig umgesetzt hat. Dies 
führte dazu, dass viele deutsche Anbie- 
ter ihren Kunden lediglich ermöglich- 
ten, der Speicherung der Cookies per 
Opt-out zu widersprechen. Wenn die 
entsprechenden Cookie-Warnungen ig- 
noriert wurden, galt die Zustimmung als 
erteilt. Nach Inkrafttreten der europäi- 
schen Datenschutz-Grundverordnung 
(DSGVO) wurde dieser Widerspruch 
immer offensichtlicher. Um die eige- 
ne Interpretation abzusichern, hatte 
der Bundesgerichtshof mit mehreren 
Fragen den Europäischen Gerichtshof 
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(EuGH) angerufen, um die europa- 
rechtliche Dimension des Falls zu klä- 
ren. Der EuGH entschied im Oktober 
2019, dass es einer ausdrücklichen 
Zustimmung nach einer detaillierten 
Information bedarf, um Werbe-Cookies 
von Dritten speichern zu dürfen. Ob 
das deutsche Recht jedoch den EU- 
Vorgaben widerspricht, stellten die 
Luxemburger Richter nicht explizit fest 
(DANA 4/2019, 234). 

Auch der BGH stellte keinen explizi- 
ten Gegensatz zwischen der europäi- 
schen und deutschen Gesetzeslage fest. 
So sei das Vorgehen des Gewinnspielan- 
bieters bereits nach der Rechtslage von 
vor 2018 unzulässig gewesen, da es 
„mit wesentlichen Grundgedanken des 
& 15 Abs. 3 Satz 1 TMG unvereinbar” ge- 
wesen sei. Dass dem deutschen Gesetz 
entsprechende Umsetzungsvorschrif- 
ten zu den EU-Richtlinien fehlten, sei 
hier nicht entscheidend, „denn es ist 
anzunehmen, dass der Gesetzgeber die 
bestehende Rechtslage in Deutschland 
für richtlinienkonform erachtete.” 
Der Wortlaut der Vorschrift lasse eine 
dementsprechende Interpretation zu, 
die die Richter nun anwendeten. Gehe 
man von der inzwischen überarbeiteten 
Rechtslage aus, komme man zum glei- 
chen Ergebnis. 

Das Urteil hat grundsätzliche Be- 
deutung: Bereits im Vorfeld der Ent- 
scheidung haben viele deutsche Web- 
site-Betreiber ihre Cookie-Warnungen 
umgestellt, sodass Nutzer explizit der 
Datenverarbeitung zustimmen müssen. 
Die Konferenz der deutschen Daten- 
schutzaufsichtsbehörden des Bundes 
und der Länder hatte schon mehr als 
zwei Jahre zuvor klargestellt, dass die 
Berufung auf das Telemediengesetz 
unzulässig ist. Seit über einem Jahr 
fanden intensive Gespräche der Daten- 
schutzaufsicht statt mit Branchen, die 
mit ihren Bannern gegen das Gesetz 
verstoßen. Bußgelder wurden aber bis- 
her keine verhängt, was ein Landesda- 
tenschützer erklärt: „Mit Sanktionen 
würden wir eher gegen schwarze Schafe 
als gegen Branchen vorgehen. Und bei 
Cookies sind ganze Branchen, die man 
gemeinhin für seriös hält, auf einem 
schwierigen Trip.” Dennoch zeigte sich 
der Branchenverband Bitkom wenig be- 
geistert von der BGH-Entscheidung. Ge- 
schäftsführer Bernhard Rohleder mein- 
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te, dass das Urteil Webseitenbetreiber 
schwer treffe und viele Internetnutzer 
nerve. Neben den hohen Auflagen der 
DSGVO müssten die Betreiber von Web- 
seiten jetzt zusätzliche Prozesse und 
Formulare für ihre Webangebote einfüh- 
ren, um Cookies auch künftig nutzen zu 
dürfen. 

Parallel dazu haben Gegenmaßnah- 
men von Browserherstellern wie Apple 
dazu geführt, dass der Gebrauch von 
Third-Party-Cookies weiter zurückge- 
drängt wird. Die Bundesregierung hat 
im Herbst 2019 eine Neufassung des 
Telemediengesetzes angekündigt, die 
nach dem Richterspruch aus Karlsru- 
he nun auf den Weg gebracht werden 
kann (Kleinz, Bundesgerichtshof: 
Cookies nur mit aktiver Einwilligung, 
www.heise.de 28.05.2020, Kurzlink: 
https://heise.de/-4767977; Hauck/ 
Muth, Die Sache mit dem Haken, SZ 
29.05.2020, 17). 


VG Wiesbaden 


Fluggastdatengesetz auf 
dem EuGH-Prüfstand 


Mit Beschlüssen vom 13. und 
15.05.2020 hat die 6. Kammer des Ver- 
waltungsgerichts Wiesbaden (VG) im 
Rahmen von Vorabentscheidungser- 
suchen dem Europäischen Gerichtshof 
(EuGH) Fragen betreffend das Fluggast- 
datengesetz vorgelegt (6 K 805/19.WI 
u. 6 K 806/19.WI). In beiden Verfahren 
begehren die Kläger die Löschung ihrer 
sog. Fluggastdaten (PNR-Daten, Passen- 
ger Name Record), die vom Bundeskri- 
minalamt (BKA) gespeichert werden. 
Das Verfahren 6 K 805/19.WI betrifft 
dabei Flüge aus der Europäischen Union 
(EU) in einen Drittstaat, das Verfahren 
6 K 806/19.WI betrifft Flüge innerhalb 
derEU. 

Am 27.04.2016 hatten das Europäi- 
sche Parlament und der Rat die Richtli- 
nie (EU) 2016/681, die sog. PNR-Richt- 
linie, erlassen. Diese schreibt vor, dass 
die Fluggesellschaften bei sämtlichen 
Flügen von der Union in Drittstaaten 
und von Drittstaaten in die Union eine 
Vielzahl von personenbezogenen Da- 
ten aller Fluggäste an von den jewei- 
ligen Mitgliedstaaten einzurichtende 
Zentralstellen (in Deutschland: das 


Bundeskriminalamt) übermitteln müs- 
sen, wo diese Daten automatisiert mit 
Datenbanken und Algorithmen (sog. 
Mustern) abgeglichen und fünf Jahre 
lang gespeichert werden. Auch eine 
Weitergabe an andere Behörden im In- 
und Ausland ist gestattet. Diese Maß- 
nahmen sollen der Bekämpfung von 
Terrorismus und schwerer Kriminalität 
dienen. Die Bundesrepublik Deutsch- 
land hat, ebenso wie viele andere EU- 
Mitgliedstaaten, mit Erlass des Flug- 
gastdatengesetzes vom 06.06.2017 die 
Richtlinie umgesetzt und von der durch 
die Richtlinie explizit eröffneten Mög- 
lichkeit Gebrauch gemacht, die Flug- 
gastdatenverarbeitung auch auf alle 
innereuropäischen Flüge auszuweiten. 

Die durch das VG Wiesbaden nun dem 
Europäischen Gerichtshof zur Beant- 
wortung vorgelegten Fragen betreffen 
im Wesentlichen die Vereinbarkeit der 
PNR-Richtlinie und des Fluggastdaten- 
gesetzes mit der Charta der Grundrechte 
der Europäischen Union (GRCh), insbe- 
sondere den dort verankerten Grund- 
rechten auf Achtung des Privat- und 
Familienlebens (Art. 7 GRCh) und dem 
Schutz personenbezogener Daten (Art. 8 
GRCh) sowie mit der Datenschutz- 
Grundverordnung und (im Falle der in- 
nereuropäischen Flüge) mit der durch 
den AEUV (Vertrag über die Arbeitsweise 
der Europäischen Union) innerhalb der 
Europäischen Union garantierten Frei- 
zügigkeit (Art. 21 AEUV). 

Das Gerichtäußerteerhebliche Zweifel, 
ob die PNR-Richtlinie und das deutsche 
Umsetzungsgesetz europarechtskon- 
form sind. Es hält die Fluggastdaten- 
verarbeitung mit der Vorratsdatenspei- 
cherung von Telekommunikationsdaten 
für vergleichbar und erachtet die damit 
verbundenen Grundrechtseingriffe trotz 
des verfolgten Ziels (Bekämpfung von 
Terrorismus und schwerer Kriminalität) 
als nicht gerechtfertigt. Zweifelhaft sei- 
en demnach unter anderem der Umfang 
der erhobenen und verarbeiteten Flug- 
gastdaten, die Verhältnismäßigkeit der 
5-jährigen Speicherdauer für die Flug- 
gastdaten, die Bestimmtheit mehrerer 
Vorschriften der Richtlinie und des Um- 
setzungsgesetzes, ob die Fluggäste über 
die Datenverarbeitung ausreichend 
informiert werden, ob die Weitergabe 
an Drittstaaten und inländisch an das 
Bundesamt für Verfassungsschutz zu- 
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lässig ist und ob die Mehrfacherfassung 
der Fluggäste (durch Start- und Zielland 
des jeweiligen innereuropäischen Flu- 
ges) gerechtfertigt ist. Die Verfahren 
des VG Wiesbaden werden dann nach 
der EuGH-Entscheidung über die Vor- 
abentscheidungsersuchen fortgesetzt 
(Verwaltungsgericht Wiesbaden: Vor- 
schriften des Fluggastdatengesetzes 
auf dem Prüfstand, Presseinformation v. 
19.05.2020). 


LG Tübingen 


Polizeiliche Wohnprojekte- 
Videoüberwachung war un- 
zulässig 


Das Landgericht Tübingen (LG) hat 
mit Beschluss vom 11.03.2020 den Straf- 
verfolgungsbehörden, also Polizei und 
Staatsanwaltschaft, untersagt, zwei lin- 
ke Wohnprojekte in Tübingen einer Lang- 
zeit-Videoüberwachung zu unterziehen 
(Az. 9 Qs 28/20). Das LG erklärte die im 
Jahre 2016 für zwei Monate angeord- 
nete allnächtliche Videoüberwachung 
der Wohnprojekte für rechtswidrig und 
hob eine gegenteilige Entscheidung des 
Amtsgerichts Tübingen auf. 

Die Videoüberwachung war ange- 
ordnet worden, weil es sich bei diesen 
Wohnprojekten „um einschlägig be- 
kannte linke Szeneobjekte (gehan- 
delt habe), in welchen Angehörige der 
linksautonomen Szene wohnhaft sind”. 
In „fußläufiger Nähe” seien vier PKWs 
Gegenstand von Brandstiftungen ge- 
worden. Nachträgliche Bekennerschrei- 
ben in der zwischenzeitlich verbotenen 
Plattform „linksunten.indymedia.org” 
und ein erst nach dem Löscheinsatz 
am nächsten Tage festgestelltes Graffiti 
„R94” ließen die Polizei von sog. Reso- 
nanzstraftaten auf die Räumung des be- 
setzten Hauses Rigaer Str. 94 in Berlin 
ausgehen. Wegen Erfolglosigkeit hatte 
die Polizei die Überwachung nach ei- 
nem Monat beendet. 

Entgegen der Verpflichtung in der 
Strafprozessordnung (8 101 Abs. 4Nr. 12 
StPO) war keine nachträgliche Informa- 
tion der beobachteten Bewohner erfolgt. 
Diese erfuhren zufällig durch einen in 
der Straße wohnenden Nachbarn, bei 
dem die Polizei die Videoanlage hatte 
installieren wollen, von der polizeilichen 
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Absicht. Erst durch Einschaltung des 
Landesdatenschutzbeauftragten von Ba- 
den-Württemberg war bekannt worden, 
dass die Polizei ihre Absicht tatsächlich 
auch realisiert hatte. 

Das LG Tübingen stellte fest, dass die 
Videoüberwachung wegen fehlender 
richterlicher Anordnung gem. & 163f 
Abs. 1 Nr. 1 StPO rechtswidrig war und 
bestätigte damit auch die Ansicht des 
Landesdatenschutzbeauftragten. Der 
Rechtsanwalt der Bewohner und Vor- 
sitzende der Humanistischen Union 
Landesverband Baden-Württemberg, 
Dr. Udo Kauß, erklärte: „Die nach Be- 
kanntwerden der Videoüberwachung 
beantragte richterliche Überprüfung 
zeigt, dass sich auch eine nachträgliche 
juristische Gegenwehr durchaus loh- 
nen kann. Es gilt leider immer wieder 
aufs Neue, der Polizei klar zu machen, 
dass sie nicht in eigener Machtvoll- 
kommenheit über die Grundrechte von 
Bürgern befinden kann, auch wenn es 
sich um Angehörige der sog. linksau- 
tonomen Szene handelt” (PE Humanis- 
tische Union, LV Baden-Württemberg 
v. 16.06.2020, Polizeiliche Langzeit- 
Videoüberwachung von zwei Tübinger 
Wohnprojekten unzulässig). 


ArbG Bonn 


Allgemeine Frage nach 
Vorstrafen bei Bewerbung 
unzulässig 


Das Arbeitsgericht Bonn (ArbG) hat 
auf die Klage eines Auszubildenden hin 
mit Urteil vom 20.05.2020 entschieden, 
dass ein Arbeitgeber von einem Stellen- 
bewerber keine allgemeine Auskunft 
über Vorstrafen und Ermittlungsverfah- 
ren verlangen darf (Az. 5 Ca83/20). Der 
Arbeitgeber darf demgemäß dazu nur 
dann Informationen einholen, wenn 
diese für den zu besetzenden Arbeits- 
platz relevant sein könnten. Der Kläger 
hatte eine Ausbildung als Fachkraft für 
Lagerlogistik begonnen. Bei dieser Tä- 
tigkeit hatte er auch Zugriff auf hoch- 
wertige Vermögensgüter der Beklagten. 
Im Rahmen des Einstellungsverfahrens 
hatte der Kläger auf einem sogenannten 
Personalblatt bei der Frage nach „Ge- 
richtlichen Verurteilungen/schweben- 
den Verfahren” die Antwort „Nein“ an- 


gekreuzt. Tatsächlich wusste er zu dem 
Zeitpunktjedoch, dass ihm ein Strafpro- 
zess wegen Raubes bevorstand. 

Etwa ein Jahr nach seiner Einstellung 
teilte der Kläger seinem Vorgesetzten 
mit, dass er eine Haftstrafe antreten 
müsse und eine Erklärung benötige, 
dass er seine Ausbildung während seines 
Freigangs fortführen könne. Daraufhin 
wollte der Arbeitgeber den Ausbildungs- 
vertrag wegen arglistiger Täuschung 
anfechten. Dies wies das ArbG zurück. 
Die von der Beklagten unspezifisch ge- 
stellte Frage nach Ermittlungsverfahren 
jeder Art sei bei einer Bewerbung um 
eine Ausbildungsstelle als Fachkraft für 
Lagerlogistik zu weitgehend und damit 
unzulässig. Nicht jede denkbare Straftat 
begründe Zweifel an der Eignung des 
Klägers für diese Ausbildung. Die Ent- 
scheidung ist noch nicht rechtskräftig. 
(Arbeitgeber: Bewerber nicht allgemein 
nach Vorstrafen fragen, www.rtl.de 
27.05.2020). 


LG Wien 


Schadenersatz wegen 
Auskunftsverweigerung 
und nicht mehr 


Max Schrems bekommt gemäß einem 
Urteil des Landesgerichts für Zivil- 
rechtssachen Wien (LG) vom 30.06.2020 
500 Euro Schadenersatz, weil Facebook 
sich geweigert hat, umfassend Auskunft 
zu erteilen. Außerdem muss Facebook 
binnen 14 Tagen die rechtlich erforder- 
liche Auskunft erteilen (3 Cg 52/14k- 
91). Alle anderen Vorwürfe Schrems’ 
weist das Gericht ab. Zuvor hatte sich 
die Richterin bereits zweimal für unzu- 
ständig erklärt, was vom EuGH bzw. Ös- 
terreichs Oberstem Gerichtshofs (OGH) 
jedes Mal aufgehoben wurde. 

Nun gibt es nach sechs Jahren Pro- 
zessdauer das erste Urteil. Das Gericht 
legt auf dutzenden Seiten den Sach- 
verhalt dar, um dann mit einer sehr 
kurzen Begründung zu überraschen. Es 
spricht Schrems das Recht auf Vertrags- 
abschluss und Weisungsgebung im Be- 
reich der Verarbeitung jener Daten ab, 
die er selbst zu Facebook hochgeladen 
oder dort erzeugt hat. Auf Datenverar- 
beitung für private oder familiäre Tätig- 
keiten sei die DSGVO nicht anwendbar, 
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weshalb Schrems daraus keine Rechte 
ableiten könne. 

Darüber hinausgehende Datenverar- 
beitung seitens Facebook habe Schrems 
entweder nicht beweisen können oder 
durch seinen Vertragsabschluss mit Fa- 
cebook akzeptiert. Er könne den Ver- 
trag durch Löschung seines Facebook- 
Kontos jederzeit beenden. Im Ergebnis 
sieht die Richterin „keine rechtswidri- 
gen Datenverarbeitungsvorgänge” bei 
Facebook. 

Artikel 9 DSGVO verbietet unter an- 
derem die Verarbeitung von Daten über 
sexuelle Orientierung und politische 
Meinung (mit Ausnahmen). Facebook 
hat Schrems unstrittig Werbung ge- 
zeigt, die in Bezug zu seiner sexuellen 
Orientierung steht, und Schrems Einla- 
dungen zu bestimmten politischen Ver- 
anstaltungen vermittelt. Aus Sicht der 
Richterin ist aber beides nicht zu bean- 
standen: Schrems habe seine sexuelle 
Orientierung selbst öffentlich gemacht. 
Und dass Facebook auswertet, für wel- 
che Politiker und Parteien sich Schrems 
interessiere, sei keine Verarbeitung von 
Daten über seine politische Meinung. 
Schrems könne ja auch Seiten von Par- 
teien aufgerufen haben, deren Meinung 
er nicht teile. 

Somit blieb nur, dass Facebook seiner 
Auskunftsverpflichtung trotz mehrmali- 
ger Aufforderung jahrelang nicht ausrei- 
chend nachgekommen ist. Dafür muss 
Facebook nun Schrems, der unbezahlter 
Vorsitzender der Datenschutzorganisa- 
tion noyb.eu ist, 500 Euro Schadener- 
satz zahlen und die Auskunft erteilen. 
Facebook musste eingestehen, dass es 
seinen Nutzern auch in den einschlägi- 
gen „Tools“ nicht alle Daten zeigt, die es 
über die Nutzer sammelt und verwertet. 
Es werden nur Daten gezeigt, von denen 
Facebook meint, dass sie für die Nutzer 
„relevant“ seien. 

Die Richterin meint, dass die Mehrheit 
der User personalisierte Reklame lieber 
hat als nicht zugeschnittene Werbung. 
Im Verfahren hatte Cecilia Alvarez, bei 
Facebook für Datenschutz in Europa, 
dem Nahen Osten und Afrika zuständig, 
als Zeugin ausgesagt. Auch mit ihrer 
Hilfe konnte nicht geklärt werden, war- 
um Facebook GPS-Daten Schrems’ hatte. 
Wie Facebook konkret Daten technisch 
verarbeitet und löscht, konnte Alvarez 
ebenfalls nicht erklären. Eine weitere 
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geladene Facebook-Managerin hatte 
sich geweigert, vor dem Wiener Gericht 
zu erscheinen. Laut Urteil ist ihre Zeu- 
genaussage nicht erzwingbar. 

Während Facebook das Urteil noch 
prüft, hat Schrems bereits entschieden, 
in Berufung zu gehen: „Die Richterin 
hat schon in der Verhandlung gesagt, 
dass sie sich auf die Fakten konzent- 
riert, weil die kniffligen rechtlichen Fra- 
gen ohnehin von den höheren Gerichten 
geklärt werden. Die Entscheidung ist 
aber trotzdem etwas grotesk: Die illega- 
len Datenverarbeitungen von Facebook 


werden auf 36 Seiten beschrieben; aber 
nurin gerade 19 Sätzen werden fast alle 
Klagepunkte pauschal abgewiesen. Nur 
eine volle Auskunft zu meinen Daten 
und € 500 symbolischen Schadenersatz 
soll ich bekommen. Mit den kniffligen 
Fragen ob das Vorgehen von Facebook 
nach der DSGVO legal ist, wollte sich 
die Richterin wohl einfach nicht be- 
schäftigen” (Sokolov, Wiener Gericht 
findet bei Facebook „keine rechtswid- 
rige Datenverarbeitung”, www.heise.de 
02.07.2020, Kurzlink: https://heise. 
de/-4801389). 


Buchbesprechungen 


h 


Krisen- 
kommunikation 
NOIR @IT LEITET 

Verstößen 


Joachim Jahn, Micha Guttmann 
und Jürgen Krais 
Krisenkommunikation bei 
Compliance-Verstößen 
München 2020, C.H. Beck Verlag 


(me) Wie wichtig das Thema Compli- 
ance geworden ist, zeigen die jüngsten 
Ermittlungen zur Aufklärung des Cum- 
Ex-Skandals und die Reaktionen der be- 
troffenen Banken dazu. 

Wenn Compliance im Mindeststandard 
die Einhaltung des mit staatlichen Sank- 
tionen bewehrten Rechts bedeutet, ge- 
hört der Datenschutz dazu. Dass es hier 
zu rechtserheblichen Vorfällen kommen 
kann, ist nicht erst seit dem Screening 
der Beschäftigten der Deutschen Bahn in 
den Jahren 2002/2003 bekannt. 

Das vorzustellende Werk ist ein Hand- 
buch aus der Reihe „Compliance für 
die Praxis”. Diese Bezeichnung ist Pro- 


gramm; im vorliegenden Handbuch darf 
sie als geglückt bezeichnet werden. In 
geordneter und übersichtlicher Weise 
wird dargestellt, wie Kommunikation 
als intelligentes Werkzeug in Compli- 
ance-Vorfällen eingesetzt wird und wel- 
che Fehler zu vermeiden sind. Auch die 
Einordnung als Handbuch, also als the- 
matische Zusammenstellung von Wissen 
zum Thema, ist zutreffend. 

Der Beck Verlag ist zu Autoren- und 
Themenwahlzu beglückwünschen. Zwar 
gibt es zahlreiche Bücher zum Thema 
„Compliance“. Man denke nur an den im 
gleichen Verlag erschienenen Klassiker 
von Moosmayer, der im nächstes Jahr 
in der 4. Auflage erscheinen wird, so- 
wie an zahllose andere. Und doch wird 
durch das Handbuch zum Thema „Kom- 
munikation im Compliance-Fall” eine 
Lücke geschlossen. Denn das Handbuch 
ist für den im Unternehmen Tätigen ge- 
schrieben: Nach einer Beschreibung der 
Compliance-Organisation und ihrer Ein- 
bettung in das Unternehmen wird die 
Krise (= Compliance-Vorfall) beschrie- 
ben, wie man sich darauf vorbereiten 
kann, welche Kommunikationspläne zu 
erstellen sind und wie mit Krisen im Ein- 
zelfall umgegangen werden kann, wobei 
die Differenzierung nach Zielgrup- 
pen überaus sinnvoll ist. Differenziert 
wird auch nach Art des Unternehmens 
bzw. der Organisation, die betroffen ist 
(börsennotiertes Unternehmen, Unter- 
nehmen der öffentlichen Hand, Verein, 
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u.a.). Erläutert wird, wie „die Medien“, 
also insbesondere wie Journalisten 
arbeiten und nach welchen Gesetzmä- 
Rigkeiten eine sog. „Medienkampagne” 
ablaufen kann. All das ist sehr lehrreich 
und kurzweilig dargestellt und auch 
für den Laien äußerst interessant. Man 
merkt der Darstellung an, dass sie von 
erfahrenen Compliance-Fachleuten ge- 
schrieben wurde. Dr. Thomas Kremer, 
Vorstandsmitglied der Deutschen Tele- 
kom AG, zuständig für Datenschutz und 
Compliance, lobt in seinem Vorwort zu 
Recht, dass der Leser in dem Handbuch 
seine „eigene Kommunikationslösung” 
finden wird. Im Grunde geht es dabei um 
die Beantwortung der Frage, wie sich 
Unternehmen und die Unternehmens- 
führung im Compliance-Fall verhalten 
sollen. Zielist dabei die Deutungshoheit 
über die Ereignisse zu behalten oder zu- 
rückzugewinnen. 

Abgerundet wird die mit zahllosen 
Beispielen und Bezügen aus der jün- 
geren Vergangenheit versehene Dar- 
stellung mit einem „praktischen Fall“, 
der die Erläuterungen der ersten 65 
Seiten veranschaulicht. Zum Ende fol- 
gen Checklisten sowie Interviews mit 
dem Investigativ-Journalisten Klaus 
Ott, der früheren Justizministerin in 
NRW, Roswitha Müller-Piepenkötter, 
sowie dem ehem. Chief Compliance Of- 
ficer der Deutschen Bahn AG und einer 
ehem. Staatsanwältin, die heute als 
Fachanwältin für Strafrecht arbeitet. 
Die Verwendung von Interviews mag 
ungewöhnlich erscheinen, ist aber ge- 
lungen, da sie in leicht lesbarer Weise 
die unterschiedlichen Perspektiven der 
im Bereich der Compliance Tätigen (in- 
vestigativ arbeitenden Journalisten, für 
einen Compliance-Fall verantwortliche 


SCHON GEHÖRT? 

AB 1. SEPTEMBER 2021 
SIND FINGERABDRÜCKE 
IM PERSONALAUSWEIS 

PFLICHT! 
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NA KLAR - IMMER WENN ICH DANN BEI 
DER POST EIN PAKET ABHOLE, STEHT DANN 
EIN FINGERABDRUCKSCANNER ZUR IDEN- 
TIFIKATION BEREIT. MIT DEN SCANNERN 
WERDEN WOHL AUCH POLIZISTEN, 
BANKEN UND NOTARE AUSGESTATTET. 


Ministerin, im Bereich tätige Anwälte 
bzw. Compliance Officer) aufzeigt. 

Abschließend ist der Pressecodex des 
Deutschen Presserates abgedruckt. 

Das Handbuch zur Krisenkommuni- 
kation bei Compliance-Verstößen ist 
ein exzellenter Ratgeber für die Praxis, 
dem ein Platz in jedem Bücherregal von 
Unternehmen und Organisationen zu 
wünschen ist! 


Grundfragen des Verwaltungsver- 
fahrensrechts im deutsch-taiwanesi- 
schen Rechtsvergleich 

hq. von Matthias Knauff und Chien- 
Hung Liu, Schriftenreihe des Hell- 
muth-Loening-Zentrums für Staatswis- 
senschaften Jena, Band 25, Berlin 2020 


(me) Beim Datenschutzrecht handelt 
es sich um (besonderes) Verwaltungs- 
recht. Insoweit war es nicht abwegig, 
in der DANA einen Tagungsband zur 
rechtsvergleichenden Betrachtung des 
deutschen und des taiwanesischen Ver- 
waltungsverfahrensrechts vorzustellen. 

Die Tagung fand im Sommer 2018 in 
Jena statt. Die dazu gehörende Publi- 


kation enthält Vorträge deutscher und 
taiwanesischer Rechtswissenschaftler. 

Besonders interessant für DANA-Le- 
ser dürfte der Beitrag des Dekans der 
Chung-Cheng-Nationalunversität sein: 
Professor Chien-Hung Liu referiert über 
die aus deutscher Sicht recht progres- 
sive (digitale) Bürgerbeteiligung im 
taiwanesischen Verwaltungsverfahren. 
Zwar ist auch manchem Zeitungsleser in 
Europa nicht verborgen geblieben, dass 
die Entwicklungen der sogenannten 
Digitalisierung in der taiwanesischen 
Gesellschaft sehr weit fortgeschritten 
sind. Dafür sorgen schon die Darstellun- 
gen Audrey Tangs, der Digitalisierungs- 
ministerin des Landes, die regelmäßig 
in der überregionalen Presse Europas 
auftaucht. Dennoch ist erstaunlich, wie 
weit verschiedene Formen der digitalen 
Bürgerbeteiligung gediehen sind, was 
wohl insbesondere auf die Sonnenblu- 
men-Proteste, einer studentischen Pro- 
testbewegung von 2014, zurückgehen 
dürfte. Da gibt es Online-Petitionen 
(join.gov.tw), die Online-Konferenz 
zur Verbesserung der Transparenz von 
Regierungshandlungen (vTaiwan) und 
nicht das zuletzt die regionale Mitbe- 
stimmung der Hauptstadtbewohner 
über die Verteilung und Zuweisung 
staatlicher finanzieller Mittel (parti- 
cipatory budgeting). Welche Dynamik 
sich hier entfaltet, wird man in näherer 
Zukunft beobachten können. 

Auch die anderen Vorträge zu The- 
men wie Verwaltungsvertrag und Plan- 
feststellung lesen sich interessant und 
stellen ihr jeweiliges Thema zum Teil 
kontrovers dar. 


Wünschenswert wäre eine Tagung die- 
ser Art und Güte zum Datenschutz. 


AHA, UND DANN FEHLT NUR NOCH EIN BIOMETRISCHER 
GESICHTSSCANNER, DENN MAN DARF JA SEINEN 
EIGENEN AUGEN BEI DER BETRACHTUNG DES 
AUSWEIS-FOTOS NICHT TRAUEN - DAS BILD KÖNNTE 
JA GEFÄLSCHT SEIN. 


UND DAMIT DER 
AUSWEIS NIE 
VERLOREN GEHT, 
SOLLTE ER PER RFID 
IMPLANTIERT 
WERDEN. DANN 
KLAPPT ES AUCH 


| MIT DER CORONA- 


NACHVERFOLGUNG. 
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Verpflichtende Fingerabdrücke in Personalausweisen yah 
es zuletzt zur Zeit des Nationalsozialismus ah 1938 


Wer sich gegen die Neuauflage mit einer Petition wehren möchte: 


https://aktion.digitalcourage.de/perso-ohne-finger 


